Enviar pesquisa
Carregar
认识一些基于Linux系统的木马病毒
•
Transferir como DOC, PDF
•
0 gostou
•
2,098 visualizações
wensheng wei
Seguir
Tecnologia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 11
Baixar agora
Recomendados
02.佈署手冊deployment guide for version 8.0
02.佈署手冊deployment guide for version 8.0
Jimmy315
卡巴斯基個人版 7.0導覽
卡巴斯基個人版 7.0導覽
briian
20030623 linuxbasic and-security
20030623 linuxbasic and-security
建融 黃
几米语录
几米语录
wensheng wei
如何学好Java?
如何学好Java?
wensheng wei
原创 读《大话设计模式》---外观模式(Facade) 收藏
原创 读《大话设计模式》---外观模式(Facade) 收藏
wensheng wei
最重要的 Java EE 最佳实践
最重要的 Java EE 最佳实践
wensheng wei
CSS规范:
CSS规范:
wensheng wei
Recomendados
02.佈署手冊deployment guide for version 8.0
02.佈署手冊deployment guide for version 8.0
Jimmy315
卡巴斯基個人版 7.0導覽
卡巴斯基個人版 7.0導覽
briian
20030623 linuxbasic and-security
20030623 linuxbasic and-security
建融 黃
几米语录
几米语录
wensheng wei
如何学好Java?
如何学好Java?
wensheng wei
原创 读《大话设计模式》---外观模式(Facade) 收藏
原创 读《大话设计模式》---外观模式(Facade) 收藏
wensheng wei
最重要的 Java EE 最佳实践
最重要的 Java EE 最佳实践
wensheng wei
CSS规范:
CSS规范:
wensheng wei
入门-Java运行环境变量的图文教程
入门-Java运行环境变量的图文教程
wensheng wei
无数据库日志文件恢复数据库方法两则
无数据库日志文件恢复数据库方法两则
wensheng wei
Installation of Subversion on Ubuntu,...
Installation of Subversion on Ubuntu,...
wensheng wei
GHOST系统备份图解
GHOST系统备份图解
wensheng wei
微软迎来35岁生日:盘点经典时刻
微软迎来35岁生日:盘点经典时刻
wensheng wei
建立Access数据库的安全门
建立Access数据库的安全门
wensheng wei
[转]Java 专业人士必备的书籍和网站列表
[转]Java 专业人士必备的书籍和网站列表
wensheng wei
存储过程入门与提高
存储过程入门与提高
wensheng wei
中国矿产资源潜力与勘查前景分析
中国矿产资源潜力与勘查前景分析
wensheng wei
Windows下22个实用的代码编辑器
Windows下22个实用的代码编辑器
wensheng wei
2009语录
2009语录
wensheng wei
jsp基础速成精华讲解
jsp基础速成精华讲解
wensheng wei
Java 操作 Excel (读)
Java 操作 Excel (读)
wensheng wei
Java 6中的线程优化真的有效么?
Java 6中的线程优化真的有效么?
wensheng wei
雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取
openblue
雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取
OFMKT
Malware Introduction and Defense
Malware Introduction and Defense
Ni Zhiqiang
Linux commands ppt
Linux commands ppt
xiaotingting
資訊安全入門
資訊安全入門
Tyler Chen
渗透测试思路技术与方法
渗透测试思路技术与方法
挺
安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告
ahnlabchina
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
T客邦
Mais conteúdo relacionado
Destaque
入门-Java运行环境变量的图文教程
入门-Java运行环境变量的图文教程
wensheng wei
无数据库日志文件恢复数据库方法两则
无数据库日志文件恢复数据库方法两则
wensheng wei
Installation of Subversion on Ubuntu,...
Installation of Subversion on Ubuntu,...
wensheng wei
GHOST系统备份图解
GHOST系统备份图解
wensheng wei
微软迎来35岁生日:盘点经典时刻
微软迎来35岁生日:盘点经典时刻
wensheng wei
建立Access数据库的安全门
建立Access数据库的安全门
wensheng wei
[转]Java 专业人士必备的书籍和网站列表
[转]Java 专业人士必备的书籍和网站列表
wensheng wei
存储过程入门与提高
存储过程入门与提高
wensheng wei
中国矿产资源潜力与勘查前景分析
中国矿产资源潜力与勘查前景分析
wensheng wei
Windows下22个实用的代码编辑器
Windows下22个实用的代码编辑器
wensheng wei
2009语录
2009语录
wensheng wei
jsp基础速成精华讲解
jsp基础速成精华讲解
wensheng wei
Java 操作 Excel (读)
Java 操作 Excel (读)
wensheng wei
Java 6中的线程优化真的有效么?
Java 6中的线程优化真的有效么?
wensheng wei
Destaque
(14)
入门-Java运行环境变量的图文教程
入门-Java运行环境变量的图文教程
无数据库日志文件恢复数据库方法两则
无数据库日志文件恢复数据库方法两则
Installation of Subversion on Ubuntu,...
Installation of Subversion on Ubuntu,...
GHOST系统备份图解
GHOST系统备份图解
微软迎来35岁生日:盘点经典时刻
微软迎来35岁生日:盘点经典时刻
建立Access数据库的安全门
建立Access数据库的安全门
[转]Java 专业人士必备的书籍和网站列表
[转]Java 专业人士必备的书籍和网站列表
存储过程入门与提高
存储过程入门与提高
中国矿产资源潜力与勘查前景分析
中国矿产资源潜力与勘查前景分析
Windows下22个实用的代码编辑器
Windows下22个实用的代码编辑器
2009语录
2009语录
jsp基础速成精华讲解
jsp基础速成精华讲解
Java 操作 Excel (读)
Java 操作 Excel (读)
Java 6中的线程优化真的有效么?
Java 6中的线程优化真的有效么?
Semelhante a 认识一些基于Linux系统的木马病毒
雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取
openblue
雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取
OFMKT
Malware Introduction and Defense
Malware Introduction and Defense
Ni Zhiqiang
Linux commands ppt
Linux commands ppt
xiaotingting
資訊安全入門
資訊安全入門
Tyler Chen
渗透测试思路技术与方法
渗透测试思路技术与方法
挺
安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告
ahnlabchina
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
T客邦
Linux必学的60个命令
Linux必学的60个命令
yiditushe
安博士Asec 2010年8月安全报告
安博士Asec 2010年8月安全报告
ahnlabchina
安博士Asec 2010年9月安全报告
安博士Asec 2010年9月安全报告
ahnlabchina
恶性代码和分析方案
恶性代码和分析方案
Youngjun Chang
台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤
jack51706
Ict network security
Ict network security
Gary Tsang
Malware Analysis - Basic and Concept
Malware Analysis - Basic and Concept
Julia Yu-Chin Cheng
Open讲座之"我的软件我做主"
Open讲座之"我的软件我做主"
NJU OPEN
作業系統1
作業系統1
偉哲 林
企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)
WASecurity
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中
T客邦
Strace debug
Strace debug
luo jing
Semelhante a 认识一些基于Linux系统的木马病毒
(20)
雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取
Malware Introduction and Defense
Malware Introduction and Defense
Linux commands ppt
Linux commands ppt
資訊安全入門
資訊安全入門
渗透测试思路技术与方法
渗透测试思路技术与方法
安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
Linux必学的60个命令
Linux必学的60个命令
安博士Asec 2010年8月安全报告
安博士Asec 2010年8月安全报告
安博士Asec 2010年9月安全报告
安博士Asec 2010年9月安全报告
恶性代码和分析方案
恶性代码和分析方案
台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤
Ict network security
Ict network security
Malware Analysis - Basic and Concept
Malware Analysis - Basic and Concept
Open讲座之"我的软件我做主"
Open讲座之"我的软件我做主"
作業系統1
作業系統1
企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中
Strace debug
Strace debug
Mais de wensheng wei
你会柔软地想起这个校园
你会柔软地想起这个校园
wensheng wei
几米语录(1)
几米语录(1)
wensheng wei
我的简历
我的简历
wensheng wei
高级PHP应用程序漏洞审核技术
高级PHP应用程序漏洞审核技术
wensheng wei
存储过程编写经验和优化措施
存储过程编写经验和优化措施
wensheng wei
CentOS5 apache2 mysql5 php5 Zend
CentOS5 apache2 mysql5 php5 Zend
wensheng wei
Happiness is a Journey
Happiness is a Journey
wensheng wei
Java JNI 编程进阶
Java JNI 编程进阶
wensheng wei
Linux Shortcuts and Commands:
Linux Shortcuts and Commands:
wensheng wei
Java正则表达式详解
Java正则表达式详解
wensheng wei
Linux Security Quick Reference Guide
Linux Security Quick Reference Guide
wensheng wei
issue35 zh-CN
issue35 zh-CN
wensheng wei
Android模拟器SD Card映像文件使用方法
Android模拟器SD Card映像文件使用方法
wensheng wei
Subversion FAQ
Subversion FAQ
wensheng wei
如何硬盘安装ubuntu8.10
如何硬盘安装ubuntu8.10
wensheng wei
ubunturef
ubunturef
wensheng wei
数据库设计方法、规范与技巧
数据库设计方法、规范与技巧
wensheng wei
揭秘全球最大网站Facebook背后的那些软件
揭秘全球最大网站Facebook背后的那些软件
wensheng wei
mysql的字符串函数
mysql的字符串函数
wensheng wei
Java学习路径
Java学习路径
wensheng wei
Mais de wensheng wei
(20)
你会柔软地想起这个校园
你会柔软地想起这个校园
几米语录(1)
几米语录(1)
我的简历
我的简历
高级PHP应用程序漏洞审核技术
高级PHP应用程序漏洞审核技术
存储过程编写经验和优化措施
存储过程编写经验和优化措施
CentOS5 apache2 mysql5 php5 Zend
CentOS5 apache2 mysql5 php5 Zend
Happiness is a Journey
Happiness is a Journey
Java JNI 编程进阶
Java JNI 编程进阶
Linux Shortcuts and Commands:
Linux Shortcuts and Commands:
Java正则表达式详解
Java正则表达式详解
Linux Security Quick Reference Guide
Linux Security Quick Reference Guide
issue35 zh-CN
issue35 zh-CN
Android模拟器SD Card映像文件使用方法
Android模拟器SD Card映像文件使用方法
Subversion FAQ
Subversion FAQ
如何硬盘安装ubuntu8.10
如何硬盘安装ubuntu8.10
ubunturef
ubunturef
数据库设计方法、规范与技巧
数据库设计方法、规范与技巧
揭秘全球最大网站Facebook背后的那些软件
揭秘全球最大网站Facebook背后的那些软件
mysql的字符串函数
mysql的字符串函数
Java学习路径
Java学习路径
认识一些基于Linux系统的木马病毒
1.
认识一些基于 Linux 系统的木马病毒
尽管在 Linux 操作系统里传播的木马病毒不多,但也是存在一些,我从一些安全站点搜集了一些资料。 1、病毒名称: Linux.Slapper.Worm 类别: 蠕虫 病毒资料: 感染系统:Linux 不受影响系统:Windows 3.x, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Macintosh 病毒传播: 端口:80, 443, 2002 感染目标:各版本 Linux 系统上的 Apache Web 服务器 技术特征: 该蠕虫会试图不断连接 80 端口,并向服务器发送无效的“GET”请求,以识别 Apache 系统。一旦发现 Apache 系 统,它会连接 443 端口,并向远程系统上的监听 SSL 服务发送恶意代码。 此蠕虫利用了 Linux Shell 代码仅能在英特尔系统上运行的漏洞。该代码需要有 shell 命令/bin/sh 才能正确执 行。蠕虫利用了 UU 编码的方法,首先将病毒源码编码 成".bugtraq.c"(这样就使得只有"ls -a"命令才能显示此 代码文件),然后发送到远程系统上,再对此文件进行解码。之后,它会利用 gcc 来编译此文件,并运行编译过 的二进制文 件".bugtraq".这些文件将存放在/tmp 目录下。 蠕虫运行时利用 IP 地址作为其参数。这些 IP 地址是黑客攻击所使用的机器的地址,蠕虫用它来建立一个利用被感 染机器发动拒绝服务攻击的网络。每个被感染的系统会对 UDP 端口 2002 进行监听,以接收黑客指令。 此蠕虫利用后缀为如下数字的固定 IP 地址对 Apache 系统进行攻击: 3, 4, 6, 8, 9, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 24, 25, 26, 28, 29, 30, 32, 33, 34, 35, 38, 40, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 61, 62, 63, 64, 65, 66, 67, 68, 80, 81, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142, 143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158, 159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175, 176, 177, 178, 179, 180, 181, 182, 183, 184, 185, 186, 187, 188, 189, 190, 191, 192, 193, 194, 195, 196, 198, 199, 200, 201, 202, 203, 204, 205, 206, 207, 208, 209, 210, 211, 212, 213, 214, 215, 216, 217, 218, 219, 220, 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239 2、病毒名称: Trojan.Linux.Typot.a 类别: 木马病毒 病毒资料: 破坏方法: 该病毒是在 Linux 操作系统下的木马,木马运行后每隔几秒就发送一个 TCP 包,其目的 IP 和源 IP 地址是随机
2.
的,这个包中存在固定的特征,包括 TCP window
size 等<在这里为 55808>,同时,病毒会嗅探网络,如果 发现 TCP 包的 window size 等于 55808,就会在当前目录下生成一个文件<文件名为:r>,每隔 24 小时,病 毒检测是否存在文件 “r”,如果存在,就会试图连接固定的 IP 地址<可能为木马的客户端>,如果连接成功,病毒 就会删除文件:/tmp/……/a 并退出 3、病毒名称: Trojan.Linux.Typot.b 类别: 木马病毒 病毒资料: 破坏方法: 该病毒是在 Linux 操作系统下的木马,木马运行后每隔几秒就发送一个 TCP 包,其目的 IP 和源 IP 地址是随机 的,这个包中存在固定的特征,包括 TCP window size 等<在这里为 55808>,同时,病毒会嗅探网络,如果 发现 TCP 包的 window size 等于 55808,就会在当前目录下生成一个文件<文件名为:r>,每隔 24 小时,病 毒检测是否存在文件 “r”,如果存在,就会试图连接固定的 IP 地址<可能为木马的客户端>,如果连接成功,病毒 就会删除文件:/tmp/……/a 并退出 4、病毒名称: W32/Linux.Bi 类别: WL 病毒 病毒资料: W32/Linux.Bi 是个跨平台病毒,长度 1287 字节,感染 Linux, Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 操作系统, 它根据操作系统类型感染当前目录的可执行文件。当收到、打开此病毒后,有以下现象: A 感染当前目录下的长度在 4K 和 4M 之间的可执行文件,(不感染 windows 下的 dll 文件) 5、病毒名称: Linux.Plupii.C 类别: Linux 病毒 病毒资料: Linux.Plupii.C 是一个 Linux 病毒,该病毒长度 40,7576 字节,感染 Linux, Novell Netware, UNIX 系统,它通过系统漏洞传播,该病毒感染的现象为: A 在 UDP 端口 27015 打开后门,允许黑客远程控制计算机 B 生成 IP 地址,添加以下内容生成 URL 地址 /cvs/ /articles/mambo/ /cvs/mambo/ /blog/xmlrpc.php /blog/xmlsrv/xmlrpc.php /blogs/xmlsrv/xmlrpc.php /drupal/xmlrpc.php /phpgroupware/xmlrpc.php /wordpress/xmlrpc.php
3.
/xmlrpc/xmlrpc.php C 向上述地址发送 http
请求,尝试通过以下漏洞传播 PHP 的 XML-RPC 远程注入攻击 (见漏洞列表 ID 14088 http://www.securityfocus.com/bid/14088 ) AWStats 日志插件参数输入确定漏洞 (见漏洞列表 ID 10950 http://www.securityfocus.com/bid/10950 ) Darryl 外围远程执行命令漏洞 (见漏洞列表 ID 13930 http://www.securityfocus.com/bid/13930 ) D 当发现存在漏洞的计算机,病毒利用漏洞从 198.170.105.69 下载脚本文件到存在漏洞的计算机并执行 E 下载以下病毒到/tmp/.temp 目录,感染计算机 cb (病毒 Linux.Plupii.B) https (Perl 脚本后门病毒) ping.txt (Perl 脚本外壳后门病毒。) httpd F 试图连接预定地址的 TCP 端口 8080 ,打开一个外壳后门 G 打开 IRC 后门,连接以下 IRC 服务器 eu.undernet.org us.undernet.org 195.204.1.130 194.109.20.90 病毒查找加入含有 lametrapchan 字符串的频道,等待黑客命令 6、病毒名称: Linux.Mare 类别: Linux 病毒 病毒资料: 该病毒长度可变,感染 Linux 系统,它通过 PHP 的 phpbb_root_path 漏洞传播,并打开后门供黑 客下载执行远程文件,当感染此病毒时,有以下危害: A 打开后门连接以下服务器 81.223.104.152 24.224.174.18
4.
B 接受并执行远程的黑客下达如下命令 更新病毒 执行命令 停止病毒 C 从上述服务器下载执行远程文件
listen D 下载执行远程更新文件 update.listen E 记录信息到文件 listen.log F 扫描通过 PHP 的 phpbb_root_path 漏洞 G 对扫描到的计算机执行以下命令 http://209.136.48.69/[已删除]/cvac 7、病毒名称: Linux.Plupii 类别: Linux 病毒 病毒资料: 该病毒长度 34,724 字节,感染 Linux 系统,此病毒利用 WEB 服务器漏洞传播,并且打开后门供 黑客操作,到当收到、打开此病毒时,有以下危害: A 通过 UPD 端口 7222 发送一个通知信息给远程黑客 B 打开后门供黑客操作 C 生成包含以下内容的 URL /cgi-bin/ /scgi-bin/ /awstats/ /cgi-bin/awstats/ /scgi-bin/awstats/ /cgi/awstats/ /scgi/awstats/ /scripts/ /cgi-bin/stats/ /scgi-bin/stats/ /stats/ /xmlrpc.php
5.
/xmlrpc/xmlrpc.php /xmlsrv/xmlrpc.php /blog/xmlrpc.php /drupal/xmlrpc.php /community/xmlrpc.php /blogs/xmlrpc.php /blogs/xmlsrv/xmlrpc.php /blog/xmlsrv/xmlrpc.php /blogtest/xmlsrv/xmlrpc.php /b2/xmlsrv/xmlrpc.php /b2evo/xmlsrv/xmlrpc.php /wordpress/xmlrpc.php /phpgroupware/xmlrpc.php /cgi-bin/includer.cgi /scgi-bin/includer.cgi /includer.cgi /cgi-bin/include/includer.cgi /scgi-bin/include/includer.cgi /cgi-bin/inc/includer.cgi /scgi-bin/inc/includer.cgi /cgi-local/includer.cgi /scgi-local/includer.cgi /cgi/includer.cgi /scgi/includer.cgi /hints.pl /cgi/hints.pl /scgi/hints.pl
6.
/cgi-bin/hints.pl /scgi-bin/hints.pl /hints/hints.pl /cgi-bin/hints/hints.pl /scgi-bin/hints/hints.pl /webhints/hints.pl /cgi-bin/webhints/hints.pl /scgi-bin/webhints/hints.pl /hints.cgi /cgi/hints.cgi /scgi/hints.cgi /cgi-bin/hints.cgi /scgi-bin/hints.cgi /hints/hints.cgi /cgi-bin/hints/hints.cgi /scgi-bin/hints/hints.cgi /webhints/hints.cgi /cgi-bin/webhints/hints.cgi /scgi-bin/webhints/hints.cgi D 使用上述生成的 URL
连接发送 http 请求,尝试使用下列 WEB 漏洞传播 PHP 远程溢出漏洞 XML-RPC(ID 14088) AWStats Rawlog 插件日志文件输入漏洞(ID 10950) Darryl Burgdorf Webhints 远程执行漏洞(ID 13930) F 尝试从 http://62.101.193.244/[已删除]/lupii 下载执行病毒 G 保存下载的病毒到 /tmp/lupii 8、病毒名称: Linux.Jac.8759 类别: Linux 病毒 病毒资料: 感染长度:8759 字节
7.
病毒简介:Linux.Jac.8759 是一个专门感染 Linux
系统下的文件的病毒,能够感染与其同相目录下的所有后缀为 ELF 的可执行文件。 技术特征:当 Linux.Jac.8759 被执行后,它会检测所有其相同目录下的文件,若找到有可写权限的可执行文 件,即会感染之。不过,此病毒不会感染以字母 ps 结尾的文件,也不会感染 X86(因特尔)平台下的文件。 病毒会修改被感染文件头的几个地方。其中一个修改是用来作为感染标记,这就使得病毒不会多次感同一个文 件。 9、病毒名称: Linux.Mighty.worm 类别: Unix/Linux 蠕虫 病毒资料: 技术特征: 这是一个 Linux 蠕虫,类似前段时间出现的 Slapper,都是借助运行 Apache 服务器软件的 Linux 机器进行传播。一旦找到可感染的机器,此蠕虫便会利用 OpenSSL 服务器(443 端口)的缓冲溢出漏洞来执行 远程的 shell 指令。有关此漏洞的详细信息,可浏览 http://www.kb.cert.org/vuls/id/102795. 该蠕虫是由四个文件组成: a.script.sh:初始的 shell 脚本,用来下载,编译及执行其他组件; b.devnul:32 位 x86 ELF 可执行文件,大约 19050 字节,它是蠕虫用来扫描互联网的主要部分; c.sslx.c:利用 OpenSSL 漏洞的源代码文件,由 script.sh 进行编译,供 devnul 使用; d.k:32 位 x86 ELF 可执行文件,大约 37237 字节,它是 kaiten 后门程序及 Ddos 工具的 Linux 端口。 当初始 shell 程序(script.sh)运行时,它会下载蠕虫的三个组件,并将漏洞代码文件(sslx.c) 编译成二进制 文件 sslx,然后执行 Kaiten 后门程序(K)并运行 devnul 文件。而 devnul 会扫描互联网上存在漏洞的机器, 一旦找到未打补丁的机器,它会运行 sslx 程序中的缓冲溢出漏洞代码。 蠕虫一旦进入到一个新系统并在此系统上成功运行的话,它会下载并执行 shell 脚本(script.sh),这样蠕虫的 自我繁殖过程就告完成。 10、病毒名称: Linux.Simile 类别: Win32 病毒 病毒资料: 感染长度:变化不定 危害级别:低 受影响系统:Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Linux 不受影响系统:Windows, Microsoft IIS, Macintosh, Unix 技术特征: 这是一个非常复杂的病毒,利用了模糊入口端点、变形及多态加密技术,也是第一个能在 Windows 及 Linux 平 台下感染的多态变形病毒。它不含破坏性 的有效载荷,但感染文件后,会在特定日期弹出对话框,让人感觉厌
8.
烦。该病毒是 Simile 家族的第四个变种,它引入了一种在
Intel Linux 平台下的新的感染机制,可感染 32 位 ELF 文件(标准的 Unix 二进制格式)。此病毒能够感染 Linux 及 Win32 系统下的 PE 及 ELF 文 件。 病毒第一次运行后,会检查当前系统日期,若病毒依附的主文件是 PE 文件,且在 3 月或 9 月 17 日这天,会弹出 一个信息框: 若主文件是 ELF 格式,则在 3 月 17 或 5 月 14 这天,病毒会输出一段类似如下的文本信息到控制面板: 该病毒已被证实能感染 Red Hat Linux6.2, 7.0 及 7.2 版本下的文件,在别的版本下也极有可能感染。被感染 文件平均增加 110K 字节,但增长的字节数随着病毒的变形引擎缩小或扩展及插入方式的不同而不同。 11、病毒名称: Linux.Slapper.B 类别: Unix/Linux 蠕虫 病毒资料: 危害级别:中 传播速度:中 技术特征: 这是一种感染 Linux 系统的网络蠕虫,与原版 Linux.Slapper.A 相似,但有一些新增功能。它会搜索运行 Apache 服务器的系统,一旦找 到能感染的机器,它就会利用 Openssl 服务器的缓冲溢出漏洞来执行远程 shell 命令。有关此漏洞的详细信息,请浏览:http://www.kb.cert.org/vuls/id/102795 该变种传播的时候,会携带自己的源代码,然后在每台受害机器上进行编译,使得其变成可执行文件。病毒源代 码文件名叫“。cinik.c”,会被复制到 “/tmp” 目录下,而其编译过的文件叫“。cinik”,存放在同一目录下,且作 为源代码的 UUEncoded 版本。此变种还含有一个 shell 脚本/tmp /.cinik.go,用来搜索被感染系统上的文件, 然后用蠕虫的二制码覆盖所搜索到的文件。该脚本还会将本地机器及网络的信息通过邮件发送给一个后缀为 yahoo.com 的邮件地址。 假如病毒源文件/tmp/cinik.c 被用户删除了,它会从某个站点下载源文件的副本,文件名也叫 cinik.c. 另外,被感染系统还会在 UDP 1978 端口上运行一后门服务器端程序。与所有后门程序类似,该服务器端会响应 远程未授权用户发送的特殊指令,从而根据指令执行各种不同的操作,例如,其中一条指令是在受感染机器上搜 索邮件地址。 它会扫描所有目录(三个特珠目录/proc, /dev 及/bin 除外)下的所有文件,以查找有效的邮件地址。而其中含 有字符串“。hlp”及与“webmaster@mydomain.com”相同的地址会被忽略,之外的其他所有邮件地址会作为一 清单发送给远程用户起初所指定的 IP 地址。 另外,远程未授权用户还可能发送其他一些指令,如: a.DOS 攻击(TCP 或 UDP); b.打开或关闭 TCP 代理(1080 端口); c.执行任意程序; d.获得其他被感染服务器的名称; 此变种在扫描可能存在漏洞的机器时,会检查符合如下形式的 IP 地址: A. B. 0-255.0-255
9.
其中 B 是
0 到 255 之间的任意数字; A 为从下列列表中随机选择的数字: 3 4 6 8 9 11 12 13 14 15 16 17 18 19 20 21 22 24 25 26 28 29 30 32 33 34 35 38 40 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 61 62 63 64 65 66 67 68 80 81 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 198 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 12、病毒名称: Linux.Slapper.C 类别: Unix/Linux 蠕虫 病毒资料: 技术特征: 这是一种感染 Linux 系统的网络蠕虫,与原版 Linux.Slapper.A 相似,但有一些新增功能。它会搜索运行 Apache 服务器的系统,一旦找 到能感染的机器,它就会利用 Openssl 服务器的缓冲溢出漏洞来执行远程 shell 命令。有关此漏洞的详细信息,请浏览:http://www.kb.cert.org/vuls/id/102795 该变种传播的时候,会携带自己的源代码,然后在每台受害机器上编译两个可执行程 序“。unlock.c”及"update.c",它们都创建在 “/tmp” 目录下。第一个成功编译后的可执行程序叫“httpd” ,位 于相同目录下。第二个可执行文件"update" 会监听 1052 端口,当输入正确 Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码后,它会允许大量的交互 式 shell 命令通过。另外,该变种还会将受感染机器的主机名及 IP 地址发送给指定的邮件地址。 像 Slapper.A 及 Slapper.b 一样,被 Slapper.c 感染过的系统会在 UDP 4156 端口运行一个后门服务器端程
10.
序,该服务器端会响应远程未授权用户发送的特殊指令,从而根据指令执行各种不同的操作,例如,共中一条指 令是在受感染 机器上搜索邮件地址。 它会扫描所有目录(三个特殊目录/proc, /dev
及/bin 除外)下的所有文件,以查找有效的邮件地址。而其中含 有字符串“。hlp”及与“webmaster@mydomain.com”相同的地址会被忽略,之外的其他所有邮件地址会作为一 清单发送给远程用户起初所指定的 IP 地址。 另外,远程未授权用户还可能发送其他一些指令,如: a.DOS 攻击(TCP 或 UDP); b.打开或关闭 TCP 代理(1080 端口); c.执行任意程序; d.获得其他被感染服务器的名称; 此变种在扫描可能存在漏洞的机器时,会检查符合如下形式的 IP 地址: A. B. 0-255.0-255 其中 B 是 0 到 255 之间的任意数字; A 为从下列列表中随机选择的数字: 3 4 6 8 9 11 12 13 14 15 16 17 18 19 20 21 22 24 25 26 28 29 30 32 33 34 35 38 40 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 61 62 63 64 65 66 67 68 80 81 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 198 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 224 225
11.
226 227 228
229 230 231 232 233 234 235 236 237 238 239
Baixar agora