盡管在Linux裡傳播的病毒不多,但也是存在一些,我從一些安全站點搜集了一些資料。
1、病毒名稱:
Linux.Slapper.Worm
類別: 蠕蟲
病毒資料: 感染系統:Linux
不受影響系統:Windows 3.x, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Macintosh
病毒傳播:
端口:80, 443, 2002
感染目標:各版本Linux系統上的Apache Web服務器
技術特征:
該蠕蟲會試圖不斷連接80端口,並向服務器發送無效的“GET”請求,以識別Apache系統。一旦發現Apache系統,它會連接443端口,並向遠程系統上的監聽SSL服務發送惡意代碼。
此蠕蟲利用了Linux Shell代碼僅能在英特爾系統上運行的漏洞。該代碼需要有shell命令/bin/sh才能正確執行。蠕蟲利用了UU編碼的方法,首先將病毒源碼編碼成".bugtraq.c"(這樣就使得只有"ls -a"命令才能顯示此代碼文件),然後發送到遠程系統上,再對此文件進行解碼。之後,它會利用gcc來編譯此文件,並運行編譯過的二進制文件".bugtraq".這些文件將存放在/tmp目錄下。
蠕蟲運行時利用IP地址作為其參數。這些IP地址是黑客攻擊所使用的機器的地址,蠕蟲用它來建立一個利用被感染機器發動拒絕服務攻擊的網絡。每個被感染的系統會對UDP端口2002進行監聽,以接收黑客指令。
此蠕蟲利用後綴為如下數字的固定IP地址對Apache系統進行攻擊:
3, 4, 6, 8, 9, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 24, 25, 26, 28, 29, 30, 32, 33, 34, 35, 38, 40, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 61, 62, 63, 64, 65, 66, 67, 68, 80, 81, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142, 143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158, 159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175, 176, 177, 178, 179, 180, 181, 182, 183, 184, 185, 186, 187, 188, 189, 190, 191, 192, 193, 194, 195, 196, 198, 199, 200, 201, 202, 203, 204, 205, 206, 207, 208, 209, 210, 211, 212, 213, 214, 215, 216, 217, 218, 219, 220, 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239
2、病毒名稱:
Trojan.Linux.Typot.a
類別: 木馬病毒
病毒資料: 破壞方法:
該病毒是在Linux操作系統下的木馬,木馬運行後每隔幾秒就發送一個TCP包,其目的IP和源IP地址是隨機的,這個包中存在固定的特征,包括 TCP window size等<在這裡為55808>,同時,病毒會嗅探網絡,如果發現TCP包的window size等於55808,就會在當前目錄下生成一個文件<文件名為:r>,每隔24小時,病毒檢測是否存在文件 “r”,如果存在,就會試圖連接固定的IP地址<可能為木馬的客戶端>,如果連接成功,病毒就會刪除文件:/tmp/……/a並退出
3、病毒名稱:
Trojan.Linux.Typot.b 類別: 木馬病毒
病毒資料: 破壞方法:
該病毒是在Linux操作系統下的木馬,木馬運行後每隔幾秒就發送一個TCP包,其目的IP和源IP地址是隨機的,這個包中存在固定的特征,包括 TCP window size等<在這裡為55808>,同時,病毒會嗅探網絡,如果發現TCP包的window size等於55808,就會在當前目錄下生成一個文件<文件名為:r>,每隔24小時,病毒檢測是否存在文件 “r”,如果存在,就會試圖連接固定的IP地址<可能為木馬的客戶端>,如果連接成功,病毒就會刪除文件:/tmp/……/a並退出
4、病毒名稱:
W32/Linux.Bi 類別: WL病毒
病毒資料: W32/Linux.Bi 是個跨平台病毒,長度 1287 字節,感染 Linux, Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 操作系統,它根據操作系統類型感染當前目錄的可執行文件。當收到、打開此病毒後,有以下現象:
A 感染當前目錄下的長度在4K和4M之間的可執行文件,(不感染windows下的dll文件)
5、病毒名稱:
Linux.Plupii.C 類別: Linux病毒
病毒資料: Linux.Plupii.C 是一個Linux病毒,該病毒長度 40,7576 字節,感染 Linux, Novell Netware, UNIX 系統,它通過系統漏洞傳播,該病毒感染的現象為:
A 在 UDP 端口 27015 打開後門,允許黑客遠程控制計算機
B 生成 IP 地址,添加以下內容生成 URL 地址
/cvs/
/articles/mambo/
/cvs/mambo/
/blog/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/drupal/xmlrpc.php
/phpgroupware/xmlrpc.php
/wordpress/xmlrpc.php
/xmlrpc/xmlrpc.php
C 向上述地址發送http請求,嘗試通過以下漏洞傳播
PHP 的 XML-RPC 遠程注入攻擊 (見漏洞列表 ID 14088
http://www.securityfocus.com/bid/14088 )
AWStats日志插件參數輸入確定漏洞 (見漏洞列表 ID 10950
http://www.securityfocus.com/bid/10950 )
Darryl 外圍遠程執行命令漏洞 (見漏洞列表 ID 13930
http://www.securityfocus.com/bid/13930 )
D 當發現存在漏洞的計算機,病毒利用漏洞從 198.170.105.69 下載腳本文件到存在漏洞的計算機並執行
E 下載以下病毒到/tmp/.temp目錄,感染計算機
cb (病毒 Linux.Plupii.B)
https (Perl腳本後門病毒)
ping.txt (Perl腳本外殼後門病毒。)
httpd
F 試圖連接預定地址的 TCP 端口 8080 ,打開一個外殼後門
G 打開 IRC 後門,連接以下 IRC 服務器
eu.undernet.org
us.undernet.org
195.204.1.130
194.109.20.90
病毒查找加入含有lametrapchan 字符串的頻道,等待黑客命令
6、病毒名稱:
Linux.Mare 類別: Linux病毒
病毒資料: 該病毒長度可變,感染 Linux 系統,它通過 PHP 的 phpbb_root_path 漏洞傳播,並打開後門供黑客下載執行遠程文件,當感染此病毒時,有以下危害:
A 打開後門連接以下服務器
81.223.104.152
24.224.174.18
B 接受並執行遠程的黑客下達如下命令
更新病毒
執行命令
停止病毒
C 從上述服務器下載執行遠程文件 listen
D 下載執行遠程更新文件 update.listen
E 記錄信息到文件 listen.log
F 掃描通過 PHP 的 phpbb_root_path 漏洞
G 對掃描到的計算機執行以下命令 http://209.136.48.69/[已刪除]/cvac
7、病毒名稱:
Linux.Plupii 類別: Linux病毒
病毒資料: 該病毒長度 34,724 字節,感染 Linux 系統,此病毒利用WEB服務器漏洞傳播,並且打開後門供黑客操作,到當收到、打開此病毒時,有以下危害:
A 通過UPD端口7222發送一個通知信息給遠程黑客
B 打開後門供黑客操作
C 生成包含以下內容的URL
/cgi-bin/
/scgi-bin/
/awstats/
/cgi-bin/awstats/
/scgi-bin/awstats/
/cgi/awstats/
/scgi/awstats/
/scripts/
/cgi-bin/stats/
/scgi-bin/stats/
/stats/
/xmlrpc.php
/xmlrpc/xmlrpc.php
/xmlsrv/xmlrpc.php
/blog/xmlrpc.php
/drupal/xmlrpc.php
/community/xmlrpc.php
/blogs/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogtest/xmlsrv/xmlrpc.php
/b2/xmlsrv/xmlrpc.php
/b2evo/xmlsrv/xmlrpc.php
/wordpress/xmlrpc.php
/phpgroupware/xmlrpc.php
/cgi-bin/includer.cgi
/scgi-bin/includer.cgi
/includer.cgi
/cgi-bin/include/includer.cgi
/scgi-bin/include/includer.cgi
/cgi-bin/inc/includer.cgi
/scgi-bin/inc/includer.cgi
/cgi-local/includer.cgi
/scgi-local/includer.cgi
/cgi/includer.cgi
/scgi/includer.cgi
/hints.pl
/cgi/hints.pl
/scgi/hints.pl
/cgi-bin/hints.pl
/scgi-bin/hints.pl
/hints/hints.pl
/cgi-bin/hints/hints.pl
/scgi-bin/hints/hints.pl
/webhints/hints.pl
/cgi-bin/webhints/hints.pl
/scgi-bin/webhints/hints.pl
/hints.cgi
/cgi/hints.cgi
/scgi/hints.cgi
/cgi-bin/hints.cgi
/scgi-bin/hints.cgi
/hints/hints.cgi
/cgi-bin/hints/hints.cgi
/scgi-bin/hints/hints.cgi
/webhints/hints.cgi
/cgi-bin/webhints/hints.cgi
/scgi-bin/webhints/hints.cgi
D 使用上述生成的URL連接發送http請求,嘗試使用下列WEB漏洞傳播
PHP遠程溢出漏洞XML-RPC(ID 14088)
AWStats Rawlog 插件日志文件輸入漏洞(ID 10950)
Darryl Burgdorf Webhints遠程執行漏洞(ID 13930)
F 嘗試從 http://62.101.193.244/[已刪除]/lupii 下載執行病毒
G 保存下載的病毒到 /tmp/lupii
8、病毒名稱:
Linux.Jac.8759 類別: Linux病毒
病毒資料: 感染長度:8759字節
病毒簡介:Linux.Jac.8759是一個專門感染Linux系統下的文件的病毒,能夠感染與其同相目錄下的所有後綴為ELF的可執行文件。
技術特征:當Linux.Jac.8759被執行後,它會檢測所有其相同目錄下的文件,若找到有可寫權限的可執行文件,即會感染之。不過,此病毒不會感染以字母ps結尾的文件,也不會感染X86(因特爾)平台下的文件。
病毒會修改被感染文件頭的幾個地方。其中一個修改是用來作為感染標記,這就使得病毒不會多次感同一個文件。
9、病毒名稱:
Linux.Mighty.worm 類別: Unix/Linux蠕蟲
病毒資料: 技術特征:
這是一個Linux蠕蟲,類似前段時間出現的Slapper,都是借助運行Apache服務器軟件的Linux
機器進行傳播。一旦找到可感染的機器,此蠕蟲便會利用OpenSSL服務器(443端口)的緩沖溢出漏洞來執行遠程的shell指令。有關此漏洞的詳細信息,可浏覽http://www.kb.cert.org/vuls/id/102795.
該蠕蟲是由四個文件組成:
a.script.sh:初始的shell腳本,用來下載,編譯及執行其他組件;
b.devnul:32位x86 ELF可執行文件,大約19050字節,它是蠕蟲用來掃描互聯網的主要部分;
c.sslx.c:利用OpenSSL漏洞的源代碼文件,由script.sh進行編譯,供devnul使用;
d.k:32位x86 ELF可執行文件,大約37237字節,它是kaiten後門程序及Ddos工具的Linux端口。
當初始shell程序(script.sh)運行時,它會下載蠕蟲的三個組件,並將漏洞代碼文件(sslx.c) 編譯成二進制文件sslx,然後執行Kaiten後門程序(K)並運行devnul文件。而devnul會掃描互聯網上存在漏洞的機器,一旦找到未打補丁的機器,它會運行sslx程序中的緩沖溢出漏洞代碼。
蠕蟲一旦進入到一個新系統並在此系統上成功運行的話,它會下載並執行shell腳本(script.sh),這樣蠕蟲的自我繁殖過程就告完成。
10、病毒名稱:
Linux.Simile 類別: Win32病毒
病毒資料: 感染長度:變化不定
危害級別:低
受影響系統:Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Linux
不受影響系統:Windows, Microsoft IIS, Macintosh, Unix
技術特征:
這是一個非常復雜的病毒,利用了模糊入口端點、變形及多態加密技術,也是第一個能在Windows及Linux平台下感染的多態變形病毒。它不含破壞性的有效載荷,但感染文件後,會在特定日期彈出對話框,讓人感覺厭煩。該病毒是Simile家族的第四個變種,它引入了一種在Intel Linux平台下的新的感染機制,可感染32位ELF文件(標准的Unix二進制格式)。此病毒能夠感染Linux及Win32系統下的PE及ELF文件。
病毒第一次運行後,會檢查當前系統日期,若病毒依附的主文件是PE文件,且在3月或9月17日這天,會彈出一個信息框:
若主文件是ELF格式,則在3月17或5月14這天,病毒會輸出一段類似如下的文本信息到控制面板:
該病毒已被證實能感染Red Hat Linux6.2, 7.0及7.2版本下的文件,在別的版本下也極有可能感染。被感染文件平均增加110K字節,但增長的字節數隨著病毒的變形引擎縮小或擴展及插入方式的不同而不同。
11、病毒名稱:
Linux.Slapper.B 類別: Unix/Linux蠕蟲
病毒資料: 危害級別:中
傳播速度:中
技術特征:
這是一種感染Linux系統的網絡蠕蟲,與原版Linux.Slapper.A相似,但有一些新增功能。它會搜索運行Apache服務器的系統,一旦找到能感染的機器,它就會利用Openssl服務器的緩沖溢出漏洞來執行遠程shell命令。有關此漏洞的詳細信息,請浏覽:http://www.kb.cert.org/vuls/id/102795
該變種傳播的時候,會攜帶自己的源代碼,然後在每台受害機器上進行編譯,使得其變成可執行文件。病毒源代碼文件名叫“。cinik.c”,會被復制到 “/tmp” 目錄下,而其編譯過的文件叫“。cinik”,存放在同一目錄下,且作為源代碼的UUEncoded版本。此變種還含有一個shell腳本/tmp/.cinik.go,用來搜索被感染系統上的文件,然後用蠕蟲的二制碼覆蓋所搜索到的文件。該腳本還會將本地機器及網絡的信息通過郵件發送給一個後綴為yahoo.com的郵件地址。
假如病毒源文件/tmp/cinik.c被用戶刪除了,它會從某個站點下載源文件的副本,文件名也叫cinik.c.
另外,被感染系統還會在UDP 1978端口上運行一後門服務器端程序。與所有後門程序類似,該服務器端會響應遠程未授權用戶發送的特殊指令,從而根據指令執行各種不同的操作,例如,其中一條指令是在受感染機器上搜索郵件地址。
它會掃描所有目錄(三個特珠目錄/proc, /dev及/bin除外)下的所有文件,以查找有效的郵件地址。而其中含有字符串“。hlp”及與“[email protected]”相同的地址會被忽略,之外的其他所有郵件地址會作為一清單發送給遠程用戶起初所指定的IP地址。
另外,遠程未授權用戶還可能發送其他一些指令,如:
a.DOS攻擊(TCP或UDP);
b.打開或關閉TCP代理(1080端口);
c.執行任意程序;
d.獲得其他被感染服務器的名稱;
此變種在掃描可能存在漏洞的機器時,會檢查符合如下形式的IP地址:
A. B. 0-255.0-255
其中B是0到255之間的任意數字;
A為從下列列表中隨機選擇的數字:
3 4 6 8 9 11 12 13 14
15 16 17 18 19 20 21 22 24
25 26 28 29 30 32 33 34 35
38 40 43 44 45 46 47 48 49
50 51 52 53 54 55 56 57 61
62 63 64 65 66 67 68 80 81
128 129 130 131 132 133 134 135 136
137 138 139 140 141 142 143 144 145
146 147 148 149 150 151 152 153 154
155 156 157
170 171 172 173 174 175
