首页 诗词 字典 板报 句子 名言 友答 励志 学校 网站地图
当前位置: 首页 > 计算机考试 > 认证考试 > Linux认证 >

一些基于Linux系统的木马病毒(2)

2008-11-11 
基于Linux系统的木马病毒

 
  8、病毒名称:
 
  Linux.Jac.8759 类别: Linux病毒
 
  病毒资料: 感染长度:8759字节
 
  病毒简介:Linux.Jac.8759是一个专门感染Linux系统下的文件的病毒,能够感染与其同相目录下的所有后缀为ELF的可执行文件。
 
  技术特征:当Linux.Jac.8759被执行后,它会检测所有其相同目录下的文件,若找到有可写权限的可执行文件,即会感染之。不过,此病毒不会感染以字母ps结尾的文件,也不会感染X86(因特尔)平台下的文件。
 
  病毒会修改被感染文件头的几个地方。其中一个修改是用来作为感染标记,这就使得病毒不会多次感同一个文件。
 
  9、病毒名称:
 
  Linux.Mighty.worm 类别: Unix/Linux蠕虫
 
  病毒资料: 技术特征:
 
  这是一个Linux蠕虫,类似前段时间出现的Slapper,都是借助运行Apache服务器软件的Linux
 
  机器进行传播。一旦找到可感染的机器,此蠕虫便会利用OpenSSL服务器(443端口)的缓冲溢出漏洞来执行远程的shell指令。有关此漏洞的详细信息,可浏览http://www.kb.cert.org/vuls/id/102795.
 
  该蠕虫是由四个文件组成:
 
  a.script.sh:初始的shell脚本,用来下载,编译及执行其他组件;
 
  b.devnul:32位x86 ELF可执行文件,大约19050字节,它是蠕虫用来扫描互联网的主要部分;
 
  c.sslx.c:利用OpenSSL漏洞的源代码文件,由script.sh进行编译,供devnul使用;
 
  d.k:32位x86 ELF可执行文件,大约37237字节,它是kaiten后门程序及Ddos工具的Linux端口。
 
  当初始shell程序(script.sh)运行时,它会下载蠕虫的三个组件,并将漏洞代码文件(sslx.c) 编译成二进制文件sslx,然后执行Kaiten后门程序(K)并运行devnul文件。而devnul会扫描互联网上存在漏洞的机器,一旦找到未打补丁的机器,它会运行sslx程序中的缓冲溢出漏洞代码。
 
  蠕虫一旦进入到一个新系统并在此系统上成功运行的话,它会下载并执行shell脚本(script.sh),这样蠕虫的自我繁殖过程就告完成。

10、病毒名称:
 
  Linux.Simile 类别: Win32病毒
 
  病毒资料: 感染长度:变化不定
 
  危害级别:低
 
  受影响系统:Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Linux
 
  不受影响系统:Windows, Microsoft IIS, Macintosh, Unix
 
  技术特征:
 
  这是一个非常复杂的病毒,利用了模糊入口端点、变形及多态加密技术,也是第一个能在Windows及Linux平台下感染的多态变形病毒。它不含破坏性的有效载荷,但感染文件后,会在特定日期弹出对话框,让人感觉厌烦。该病毒是Simile家族的第四个变种,它引入了一种在Intel Linux平台下的新的感染机制,可感染32位ELF文件(标准的Unix二进制格式)。此病毒能够感染Linux及Win32系统下的PE及ELF文件。
 
  病毒第一次运行后,会检查当前系统日期,若病毒依附的主文件是PE文件,且在3月或9月17日这天,会弹出一个信息框:
 
  若主文件是ELF格式,则在3月17或5月14这天,病毒会输出一段类似如下的文本信息到控制面板:
 
  该病毒已被证实能感染Red Hat Linux6.2, 7.0及7.2版本下的文件,在别的版本下也极有可能感染。被感染文件平均增加110K字节,但增长的字节数随着病毒的变形引擎缩小或扩展及插入方式的不同而不同。
 
  11、病毒名称:
 
  Linux.Slapper.B 类别: Unix/Linux蠕虫
 
  病毒资料: 危害级别:中
 
  传播速度:中
 
  技术特征:
 
  这是一种感染Linux系统的网络蠕虫,与原版Linux.Slapper.A相似,但有一些新增功能。它会搜索运行Apache服务器的系统,一旦找到能感染的机器,它就会利用Openssl服务器的缓冲溢出漏洞来执行远程shell命令。有关此漏洞的详细信息,请浏览:http://www.kb.cert.org/vuls/id/102795
 
  该变种传播的时候,会携带自己的源代码,然后在每台受害机器上进行编译,使得其变成可执行文件。病毒源代码文件名叫“。cinik.c”,会被复制到 “/tmp” 目录下,而其编译过的文件叫“。cinik”,存放在同一目录下,且作为源代码的UUEncoded版本。此变种还含有一个shell脚本/tmp /.cinik.go,用来搜索被感染系统上的文件,然后用蠕虫的二制码覆盖所搜索到的文件。该脚本还会将本地机器及网络的信息通过邮件发送给一个后缀为 yahoo.com的邮件地址。
 
  假如病毒源文件/tmp/cinik.c被用户删除了,它会从某个站点下载源文件的副本,文件名也叫cinik.c.
 
  另外,被感染系统还会在UDP 1978端口上运行一后门服务器端程序。与所有后门程序类似,该服务器端会响应远程未授权用户发送的特殊指令,从而根据指令执行各种不同的操作,例如,其中一条指令是在受感染机器上搜索邮件地址。
 
  它会扫描所有目录(三个特珠目录/proc, /dev及/bin除外)下的所有文件,以查找有效的邮件地址。而其中含有字符串“。hlp”及与“webmaster@mydomain.com”相同的地址会被忽略,之外的其他所有邮件地址会作为一清单发送给远程用户起初所指定的IP地址。
 
  另外,远程未授权用户还可能发送其他一些指令,如:
 
  a.DOS攻击(TCP或UDP);
 
  b.打开或关闭TCP代理(1080端口);
 
  c.执行任意程序;
 
  d.获得其他被感染服务器的名称;
 
  此变种在扫描可能存在漏洞的机器时,会检查符合如下形式的IP地址:
 
  A. B. 0-255.0-255
 
  其中B是0到255之间的任意数字;
 
  A为从下列列表中随机选择的数字:
 
  3 4 6 8 9 11 12 13 14
 
  15 16 17 18 19 20 21 22 24
 
  25 26 28 29 30 32 33 34 35
 
  38 40 43 44 45 46 47 48 49
 
  50 51 52 53 54 55 56 57 61
 
  62 63 64 65 66 67 68 80 81
 
  128 129 130 131 132 133 134 135 136
 
  137 138 139 140 141 142 143 144 145
 
  146 147 148 149 150 151 152 153 154
 
  155 156 157 170 171 172 173 174 175
 
  176 177 178 179 180 181 182 183 184
 
  185 186 187 188 189 190 191 192 193
 
  194 195 196 198 200 201 202 203 204
 
  205 206 207 208 209 210 211 212 213
 
  214 215 216 217 218 219 220 224 225
 
  226 227 228 229 230 231 232 233 234
 
  235 236 237 238 239
 
  12、病毒名称:
 
  Linux.Slapper.C 类别: Unix/Linux蠕虫
 
  病毒资料: 技术特征:
 
  这是一种感染Linux系统的网络蠕虫,与原版Linux.Slapper.A相似,但有一些新增功能。它会搜索运行Apache服务器的系统,一旦找到能感染的机器,它就会利用Openssl服务器的缓冲溢出漏洞来执行远程shell命令。有关此漏洞的详细信息,请浏览:http://www.kb.cert.org/vuls/id/102795
 
  该变种传播的时候,会携带自己的源代码,然后在每台受害机器上编译两个可执行程序“。unlock.c”及"update.c",它们都创建在 “/tmp” 目录下。第一个成功编译后的可执行程序叫“httpd” ,位于相同目录下。第二个可执行文件"update" 会监听1052端口,当输入正确Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码后,它会允许大量的交互式shell命令通过。另外,该变种还会将受感染机器的主机名及IP地址发送给指定的邮件地址。
 
  像Slapper.A及Slapper.b一样,被Slapper.c感染过的系统会在UDP 4156端口运行一个后门服务器端程序,该服务器端会响应远程未授权用户发送的特殊指令,从而根据指令执行各种不同的操作,例如,共中一条指令是在受感染机器上搜索邮件地址。
 
  它会扫描所有目录(三个特殊目录/proc, /dev及/bin除外)下的所有文件,以查找有效的邮件地址。而其中含有字符串“。hlp”及与“webmaster@mydomain.com”相同的地址会被忽略,之外的其他所有邮件地址会作为一清单发送给远程用户起初所指定的IP地址。
 
  另外,远程未授权用户还可能发送其他一些指令,如:
 
  a.DOS攻击(TCP或UDP);
 
  b.打开或关闭TCP代理(1080端口);
 
  c.执行任意程序;
 
  d.获得其他被感染服务器的名称;
 
  此变种在扫描可能存在漏洞的机器时,会检查符合如下形式的IP地址:
 
  A. B. 0-255.0-255
 
  其中B是0到255之间的任意数字;
 
  A为从下列列表中随机选择的数字:
 
  3 4 6 8 9 11 12 13 14
 
  15 16 17 18 19 20 21 22 24
 
  25 26 28 29 30 32 33 34 35
 
  38 40 43 44 45 46 47 48 49
 
  50 51 52 53 54 55 56 57 61
 
  62 63 64 65 66 67 68 80 81
 
  128 129 130 131 132 133 134 135 136
 
  137 138 139 140 141 142 143 144 145
 
  146 147 148 149 150 151 152 153 154
 
  155 156 157 170 171 172 173 174 175
 
  176 177 178 179 180 181 182 183 184
 
  185 186 187 188 189 190 191 192 193
 
  194 195 196 198 200 201 202 203 204
 
  205 206 207 208 209 210 211 212 213
 
  214 215 216 217 218 219 220 224 225
 
  226 227 228 229 230 231 232 233 234
 
  235 236 237 238 239

3COME考试频道为您精心整理,希望对您有所帮助,更多信息在http://www.reader8.com/exam/

热点排行