请选择 进入手机版 | 继续访问电脑版

有图站长

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

有图站长 烟台 网络安全 查看内容

在Linux里传播的病毒集合

2015-3-17 16:33| 发布者: ytzz| 查看: 4026| 评论: 0|来自: 孙文健博客

摘要: 尽管在Linux里传播的病毒不多,但也是存在一些,我从一些安全站点搜集了一些资料。蠕虫、木马病毒、WL病毒、Linux病毒、Win32病毒、Unix/Linux蠕虫

  尽管在Linux里传播的病毒不多,但也是存在一些,我从一些安全站点搜集了一些资料。

   1、病毒名称:

   Linux.Slapper.Worm

   类别: 蠕虫

   病毒资料: 感染系统:Linux

   不受影响系统:Windows 3.x, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Macintosh

   病毒传播:

   端口:80, 443, 2002

  感染目标:各版本Linux系统上的Apache Web服务器

  技术特征:

  该蠕虫会试图不断连接80端口,并向服务器发送无效的“GET”请求,以识别Apache系统。一旦发现Apache系统,它会连接443端口,并向远程系统上的监听SSL服务发送恶意代码。

  此蠕虫利用了Linux Shell代码仅能在英特尔系统上运行的漏洞。该代码需要有shell命令/bin/sh才能正确执行。蠕虫利用了UU编码的方法,首先将病毒源码编码成".bugtraq.c"(这样就使得只有"ls -a"命令才能显示此代码文件),然后发送到远程系统上,再对此文件进行解码。之后,它会利用gcc来编译此文件,并运行编译过的二进制文件".bugtraq".这些文件将存放在/tmp目录下。

  蠕虫运行时利用IP地址作为其参数。这些IP地址是黑客攻击所使用的机器的地址,蠕虫用它来建立一个利用被感染机器发动拒绝服务攻击的网络。每个被感染的系统会对UDP端口2002进行监听,以接收黑客指令。

  此蠕虫利用后缀为如下数字的固定IP地址对Apache系统进行攻击:

  3, 4, 6, 8, 9, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 24, 25, 26, 28, 29, 30, 32, 33, 34, 35, 38, 40, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 61, 62, 63, 64, 65, 66, 67, 68, 80, 81, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142, 143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158, 159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175, 176, 177, 178, 179, 180, 181, 182, 183, 184, 185, 186, 187, 188, 189, 190, 191, 192, 193, 194, 195, 196, 198, 199, 200, 201, 202, 203, 204, 205, 206, 207, 208, 209, 210, 211, 212, 213, 214, 215, 216, 217, 218, 219, 220, 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239

  2、病毒名称:

  Trojan.Linux.Typot.a

  类别: 木马病毒

  病毒资料: 破坏方法:

  该病毒是在Linux操作系统下的木马,木马运行后每隔几秒就发送一个TCP包,其目的IP和源IP地址是随机的,这个包中存在固定的特征,包括 TCP window size<</FONT>在这里为55808>,同时,病毒会嗅探网络,如果发现TCP包的window size等于55808,就会在当前目录下生成一个文件<</FONT>文件名为:r>,每隔24小时,病毒检测是否存在文件 “r”,如果存在,就会试图连接固定的IP地址<</FONT>可能为木马的客户端>,如果连接成功,病毒就会删除文件:/tmp/……/a并退出

  3、病毒名称:

  Trojan.Linux.Typot.b 类别: 木马病毒

  病毒资料: 破坏方法:

  该病毒是在Linux操作系统下的木马,木马运行后每隔几秒就发送一个TCP包,其目的IP和源IP地址是随机的,这个包中存在固定的特征,包括 TCP window size<</FONT>在这里为55808>,同时,病毒会嗅探网络,如果发现TCP包的window size等于55808,就会在当前目录下生成一个文件<</FONT>文件名为:r>,每隔24小时,病毒检测是否存在文件 “r”,如果存在,就会试图连接固定的IP地址<</FONT>可能为木马的客户端>,如果连接成功,病毒就会删除文件:/tmp/……/a并退出

  4、病毒名称:

  W32/Linux.Bi 类别: WL病毒

  病毒资料: W32/Linux.Bi 是个跨平台病毒,长度 1287 字节,感染 Linux, Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 操作系统,它根据操作系统类型感染当前目录的可执行文件。当收到、打开此病毒后,有以下现象:

   感染当前目录下的长度在4K4M之间的可执行文件,(不感染windows下的dll文件)



鲜花
1

握手

雷人

路过

鸡蛋

刚表态过的朋友 (1 人)

QQ|Archiver|手机版|小黑屋|有图青年站长社区 ( 鲁ICP备14014356号

GMT+8, 2019-6-25 15:42 , Processed in 0.063824 second(s), 20 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

返回顶部