认识一些基于Linux系统的木马病毒

    尽管在Linux操作系统里传播的木马病毒不多，但也是存在一些，我从一些安全站点搜集了一些资料。
　
　　1、病毒名称：
　
　　Linux.Slapper.Worm
　
　　类别： 蠕虫
　
　　病毒资料： 感染系统：Linux
　
　　不受影响系统：Windows 3.x， Windows 95， Windows 98， Windows NT， Windows 2000， Windows XP， Windows Me， Macintosh

     　　病毒传播：
　
　　端口：80， 443， 2002
　
　　感染目标：各版本Linux系统上的Apache Web服务器
　
　　技术特征：
　
　　该蠕虫会试图不断连接80端口，并向服务器发送无效的“GET”请求，以识别Apache系统。一旦发现Apache系统，它会连接443端口，并向远程系统上的监听SSL服务发送恶意代码。
　
　　此蠕虫利用了Linux Shell代码仅能在英特尔系统上运行的漏洞。该代码需要有shell命令/bin/sh才能正确执行。蠕虫利用了UU编码的方法，首先将病毒源码编码成".bugtraq.c"（这样就使得只有"ls -a"命令才能显示此代码文件），然后发送到远程系统上，再对此文件进行解码。之后，它会利用gcc来编译此文件，并运行编译过的二进制文件".bugtraq".这些文件将存放在/tmp目录下。
　
　　蠕虫运行时利用IP地址作为其参数。这些IP地址是黑客攻击所使用的机器的地址，蠕虫用它来建立一个利用被感染机器发动拒绝服务攻击的网络。每个被感染的系统会对UDP端口2002进行监听，以接收黑客指令。
　
　　此蠕虫利用后缀为如下数字的固定IP地址对Apache系统进行攻击：
　
　　3， 4， 6， 8， 9， 11， 12， 13， 14， 15， 16， 17， 18， 19， 20， 21， 22， 24， 25， 26， 28， 29， 30， 32， 33， 34， 35， 38， 40， 43， 44， 45， 46， 47， 48， 49， 50， 51， 52， 53， 54， 55， 56， 57， 61， 62， 63， 64， 65， 66， 67， 68， 80， 81， 128， 129， 130， 131， 132， 133， 134， 135， 136， 137， 138， 139， 140， 141， 142， 143， 144， 145， 146， 147， 148， 149， 150， 151， 152， 153， 154， 155， 156， 157， 158， 159， 160， 161， 162， 163， 164， 165， 166， 167， 168， 169， 170， 171， 172， 173， 174， 175， 176， 177， 178， 179， 180， 181， 182， 183， 184， 185， 186， 187， 188， 189， 190， 191， 192， 193， 194， 195， 196， 198， 199， 200， 201， 202， 203， 204， 205， 206， 207， 208， 209， 210， 211， 212， 213， 214， 215， 216， 217， 218， 219， 220， 224， 225， 226， 227， 228， 229， 230， 231， 232， 233， 234， 235， 236， 237， 238， 239
　
　　2、病毒名称：
　
　　Trojan.Linux.Typot.a
　
　　类别： 木马病毒
　
　　病毒资料： 破坏方法：
　
　　该病毒是在Linux操作系统下的木马，木马运行后每隔几秒就发送一个TCP包，其目的IP和源IP地址是随机的，这个包中存在固定的特征，包括 TCP window size等<在这里为55808>，同时，病毒会嗅探网络，如果发现TCP包的window size等于55808，就会在当前目录下生成一个文件<文件名为：r>，每隔24小时，病毒检测是否存在文件 “r”，如果存在，就会试图连接固定的IP地址<可能为木马的客户端>，如果连接成功，病毒就会删除文件：/tmp/……/a并退出
　
　　3、病毒名称：
　
　　Trojan.Linux.Typot.b 类别： 木马病毒
　
　　病毒资料： 破坏方法：
　
　　该病毒是在Linux操作系统下的木马，木马运行后每隔几秒就发送一个TCP包，其目的IP和源IP地址是随机的，这个包中存在固定的特征，包括 TCP window size等<在这里为55808>，同时，病毒会嗅探网络，如果发现TCP包的window size等于55808，就会在当前目录下生成一个文件<文件名为：r>，每隔24小时，病毒检测是否存在文件 “r”，如果存在，就会试图连接固定的IP地址<可能为木马的客户端>，如果连接成功，病毒就会删除文件：/tmp/……/a并退出
　
　　4、病毒名称：
　
　　W32/Linux.Bi 类别： WL病毒
　
　　病毒资料： W32/Linux.Bi 是个跨平台病毒，长度 1287 字节，感染 Linux， Windows 2000， Windows 95， Windows 98， Windows Me， Windows NT， Windows Server 2003， Windows XP 操作系统，它根据操作系统类型感染当前目录的可执行文件。当收到、打开此病毒后，有以下现象：
　
　　A 感染当前目录下的长度在4K和4M之间的可执行文件，（不感染windows下的dll文件）
　
　　5、病毒名称：
　
　　Linux.Plupii.C 类别： Linux病毒
　
　　病毒资料： Linux.Plupii.C 是一个Linux病毒，该病毒长度 40，7576 字节，感染 Linux， Novell Netware， UNIX 系统，它通过系统漏洞传播，该病毒感染的现象为：
　
　　A 在 UDP 端口 27015 打开后门，允许黑客远程控制计算机
　
　　B 生成 IP 地址，添加以下内容生成 URL 地址
　
　　/cvs/
　
　　/articles/mambo/
　
　　/cvs/mambo/
　
　　/blog/xmlrpc.php
　
　　/blog/xmlsrv/xmlrpc.php
　
　　/blogs/xmlsrv/xmlrpc.php
　
　　/drupal/xmlrpc.php
　
　　/phpgroupware/xmlrpc.php
　
　　/wordpress/xmlrpc.php
　
　　/xmlrpc/xmlrpc.php
　
　　C 向上述地址发送http请求，尝试通过以下漏洞传播
　
　　PHP 的 XML-RPC 远程注入攻击 （见漏洞列表 ID 14088
　
　　http://www.securityfocus.com/bid/14088 ）
　
　　AWStats日志插件参数输入确定漏洞 （见漏洞列表 ID 10950
　
　　http://www.securityfocus.com/bid/10950 ）
　
　　Darryl 外围远程执行命令漏洞 （见漏洞列表 ID 13930
　
　　http://www.securityfocus.com/bid/13930 ）
　
　　D 当发现存在漏洞的计算机，病毒利用漏洞从 198.170.105.69 下载脚本文件到存在漏洞的计算机并执行
　
　　E 下载以下病毒到/tmp/.temp目录，感染计算机
　
　　cb （病毒 Linux.Plupii.B）
　
　　https （Perl脚本后门病毒）
　
　　ping.txt （Perl脚本外壳后门病毒。）
　
　　httpd
　
　　F 试图连接预定地址的 TCP 端口 8080 ，打开一个外壳后门
　
　　G 打开 IRC 后门，连接以下 IRC 服务器
　
　　eu.undernet.org
　
　　us.undernet.org
　
　　195.204.1.130
　
　　194.109.20.90
　
　　病毒查找加入含有lametrapchan 字符串的频道，等待黑客命令
　

[1] [2] [3] 下一页