基于Linux系统的病毒

虽然在Linux里传播的病毒不多，但也是存在一些，我从一些安全网站搜集了一些资料。
　
　　1、病毒名称：
　
　　Linux.Slapper.Worm
　
　　类别： 蠕虫
　
　　病毒资料： 感染系统：Linux
　
　　不受影响系统：Windows 3.x， Windows 95， Windows 98， Windows NT， Windows 2000， Windows XP， Windows Me， Macintosh
　
　　病毒传播：
　
　　port：80， 443， 2002
　
　　感染目标：各版本号Linux系统上的Apache Webserver
　
　　技术特征：
　
　　该蠕虫会试图不断连接80port，并向server发送无效的“GET”请求，以识别Apache系统。一旦发现Apache系统，它会连接443port，并向远程系统上的监听SSL服务发送恶意代码。
　
　　此蠕虫利用了Linux Shell代码仅能在英特尔系统上执行的漏洞。该代码须要有shell命令/bin/sh才干正确执行。蠕虫利用了UU编码的方法，首先将病毒源代码编码成".bugtraq.c"（这样就使得仅仅有"ls -a"命令才干显示此代码文件），然后发送到远程系统上，再对此文件进行解码。之后，它会利用gcc来编译此文件，并执行编译过的二进制文件".bugtraq".这些文件将存放在/tmp文件夹下。
　
　　蠕虫执行时利用IP地址作为其參数。这些IP地址是黑客攻击所使用的机器的地址，蠕虫用它来建立一个利用被感染机器发动拒绝服务攻击的网络。每一个被感染的系统会对UDPport2002进行监听，以接收黑客指令。
　
　　此蠕虫利用后缀为例如以下数字的固定IP地址对Apache系统进行攻击：
　
　　3， 4， 6， 8， 9， 11， 12， 13， 14， 15， 16， 17， 18， 19， 20， 21， 22， 24， 25， 26， 28， 29， 30， 32， 33， 34， 35， 38， 40， 43， 44， 45， 46， 47， 48， 49， 50， 51， 52， 53， 54， 55， 56， 57， 61， 62， 63， 64， 65， 66， 67， 68， 80， 81， 128， 129， 130， 131， 132， 133， 134， 135， 136， 137， 138， 139， 140， 141， 142， 143， 144， 145， 146， 147， 148， 149， 150， 151， 152， 153， 154， 155， 156， 157， 158， 159， 160， 161， 162， 163， 164， 165， 166， 167， 168， 169， 170， 171， 172， 173， 174， 175， 176， 177， 178， 179， 180， 181， 182， 183， 184， 185， 186， 187， 188， 189， 190， 191， 192， 193， 194， 195， 196， 198， 199， 200， 201， 202， 203， 204， 205， 206， 207， 208， 209， 210， 211， 212， 213， 214， 215， 216， 217， 218， 219， 220， 224， 225， 226， 227， 228， 229， 230， 231， 232， 233， 234， 235， 236， 237， 238， 239
　
　　2、病毒名称：
　
　　Trojan.Linux.Typot.a
　
　　类别： 木马病毒
　
　　病毒资料： 破坏方法：
　
　　该病毒是在Linux操作系统下的木马，木马执行后每隔几秒就发送一个TCP包，其目的IP和源IP地址是随机的，这个包中存在固定的特征，包含 TCP window size等<在这里为55808>，同一时候，病毒会嗅探网络，假设发现TCP包的window size等于55808，就会在当前文件夹下生成一个文件<文件名称为：r>，每隔24小时，病毒检測是否存在文件 “r”，假设存在，就会试图连接固定的IP地址<可能为木马的client>，假设连接成功，病毒就会删除文件：/tmp/……/a并退出
　
　　3、病毒名称：
　
　　Trojan.Linux.Typot.b 类别： 木马病毒
　
　　病毒资料： 破坏方法：
　
　　该病毒是在Linux操作系统下的木马，木马执行后每隔几秒就发送一个TCP包，其目的IP和源IP地址是随机的，这个包中存在固定的特征，包含 TCP window size等<在这里为55808>，同一时候，病毒会嗅探网络，假设发现TCP包的window size等于55808，就会在当前文件夹下生成一个文件<文件名称为：r>，每隔24小时，病毒检測是否存在文件 “r”，假设存在，就会试图连接固定的IP地址<可能为木马的client>，假设连接成功，病毒就会删除文件：/tmp/……/a并退出
　
　　4、病毒名称：
　
　　W32/Linux.Bi 类别： WL病毒
　
　　病毒资料： W32/Linux.Bi 是个跨平台病毒，长度 1287 字节，感染 Linux， Windows 2000， Windows 95， Windows 98， Windows Me， Windows NT， Windows Server 2003， Windows XP 操作系统，它依据操作系统类型感染当前文件夹的可运行文件。当收到、打开此病毒后，有下面现象：
　
　　A 感染当前文件夹下的长度在4K和4M之间的可运行文件，（不感染windows下的dll文件）
　
　　5、病毒名称：
　
　　Linux.Plupii.C 类别： Linux病毒
　
　　病毒资料： Linux.Plupii.C 是一个Linux病毒，该病毒长度 40，7576 字节，感染 Linux， Novell Netware， UNIX 系统，它通过系统漏洞传播，该病毒感染的现象为：
　
　　A 在 UDP port 27015 打开后门，同意黑客远程控制计算机
　
　　B 生成 IP 地址，加入下面内容生成 URL 地址
　
　　/cvs/
　
　　/articles/mambo/
　
　　/cvs/mambo/
　
　　/blog/xmlrpc.php
　
　　/blog/xmlsrv/xmlrpc.php
　
　　/blogs/xmlsrv/xmlrpc.php
　
　　/drupal/xmlrpc.php
　
　　/phpgroupware/xmlrpc.php
　
　　/wordpress/xmlrpc.php
　
　　/xmlrpc/xmlrpc.php
　
　　C 向上述地址发送http请求，尝试通过下面漏洞传播
　
　　PHP 的 XML-RPC 远程注入攻击 （见漏洞列表 ID 14088
　
　　http://www.securityfocus.com/bid/14088 ）
　
　　AWStats日志插件參数输入确定漏洞 （见漏洞列表 ID 10950
　
　　http://www.securityfocus.com/bid/10950 ）
　
　　Darryl 外围远程运行命令漏洞 （见漏洞列表 ID 13930
　
　　http://www.securityfocus.com/bid/13930 ）
　
　　D 当发现存在漏洞的计算机，病毒利用漏洞从 198.170.105.69 下载脚本文件到存在漏洞的计算机并运行
　
　　E 下载下面病毒到/tmp/.temp文件夹，感染计算机
　
　　cb （病毒 Linux.Plupii.B）
　
　　https （Perl脚本后门病毒）
　
　　ping.txt （Perl脚本外壳后门病毒。）
　
　　httpd
　
　　F 试图连接预定地址的 TCP port 8080 ，打开一个外壳后门
　
　　G 打开 IRC 后门，连接下面 IRC server
　
　　eu.undernet.org
　
　　us.undernet.org
　
　　195.204.1.130
　
　　194.109.20.90
　
　　病毒查找增加含有lametrapchan 字符串的频道，等待黑客命令
　
　　6、病毒名称：
　
　　Linux.Mare 类别： Linux病毒
　
　　病毒资料： 该病毒长度可变，感染 Linux 系统，它通过 PHP 的 phpbb_root_path 漏洞传播，并打开后门供黑客下载运行远程文件，当感染此病毒时，有下面危害：
　
　　A 打开后门连接下面server
　
　　81.223.104.152
　
　　24.224.174.18
　
　　B 接受并运行远程的黑客下达例如以下命令
　
　　更新病毒
　
　　运行命令
　
　　停止病毒
　
　　C 从上述server下载运行远程文件 listen
　
　　D 下载运行远程更新文件 update.listen
　
　　E 记录信息到文件 listen.log
　
　　F 扫描通过 PHP 的 phpbb_root_path 漏洞
　

　　G 对扫描到的计算机运行下面命令 http://209.136.48.69/[已删除]/cvac　

7、病毒名称：
　
　　Linux.Plupii 类别： Linux病毒
　
　　病毒资料： 该病毒长度 34，724 字节，感染 Linux 系统，此病毒利用WEBserver漏洞传播，而且打开后门供黑客操作，到当收到、打开此病毒时，有下面危害：
　
　　A 通过UPDport7222发送一个通知信息给远程黑客
　
　　B 打开后门供黑客操作
　
　　C 生成包括下面内容的URL
　
　　/cgi-bin/
　
　　/scgi-bin/
　
　　/awstats/
　
　　/cgi-bin/awstats/
　
　　/scgi-bin/awstats/
　
　　/cgi/awstats/
　
　　/scgi/awstats/
　
　　/scripts/
　
　　/cgi-bin/stats/
　
　　/scgi-bin/stats/
　
　　/stats/
　
　　/xmlrpc.php
　
　　/xmlrpc/xmlrpc.php
　
　　/xmlsrv/xmlrpc.php
　
　　/blog/xmlrpc.php
　
　　/drupal/xmlrpc.php
　
　　/community/xmlrpc.php
　
　　/blogs/xmlrpc.php
　
　　/blogs/xmlsrv/xmlrpc.php
　
　　/blog/xmlsrv/xmlrpc.php
　
　　/blogtest/xmlsrv/xmlrpc.php
　
　　/b2/xmlsrv/xmlrpc.php
　
　　/b2evo/xmlsrv/xmlrpc.php
　
　　/wordpress/xmlrpc.php
　
　　/phpgroupware/xmlrpc.php
　
　　/cgi-bin/includer.cgi
　
　　/scgi-bin/includer.cgi
　
　　/includer.cgi
　
　　/cgi-bin/include/includer.cgi
　
　　/scgi-bin/include/includer.cgi
　
　　/cgi-bin/inc/includer.cgi
　
　　/scgi-bin/inc/includer.cgi
　
　　/cgi-local/includer.cgi
　
　　/scgi-local/includer.cgi
　
　　/cgi/includer.cgi
　
　　/scgi/includer.cgi
　
　　/hints.pl
　
　　/cgi/hints.pl
　
　　/scgi/hints.pl
　
　　/cgi-bin/hints.pl
　
　　/scgi-bin/hints.pl
　
　　/hints/hints.pl
　
　　/cgi-bin/hints/hints.pl
　
　　/scgi-bin/hints/hints.pl
　
　　/webhints/hints.pl
　
　　/cgi-bin/webhints/hints.pl
　
　　/scgi-bin/webhints/hints.pl
　
　　/hints.cgi
　
　　/cgi/hints.cgi
　
　　/scgi/hints.cgi
　
　　/cgi-bin/hints.cgi
　
　　/scgi-bin/hints.cgi
　
　　/hints/hints.cgi
　
　　/cgi-bin/hints/hints.cgi
　
　　/scgi-bin/hints/hints.cgi
　
　　/webhints/hints.cgi
　
　　/cgi-bin/webhints/hints.cgi
　
　　/scgi-bin/webhints/hints.cgi
　
　　D 使用上述生成的URL连接发送http请求，尝试使用下列WEB漏洞传播
　
　　PHP远程溢出漏洞XML-RPC（ID 14088）
　
　　AWStats Rawlog 插件日志文件输入漏洞（ID 10950）
　
　　Darryl Burgdorf Webhints远程运行漏洞（ID 13930）
　
　　F 尝试从 http://62.101.193.244/[已删除]/lupii 下载运行病毒
　
　　G 保存下载的病毒到 /tmp/lupii
　
　　8、病毒名称：
　
　　Linux.Jac.8759 类别： Linux病毒
　
　　病毒资料： 感染长度：8759字节
　
　　病毒简单介绍：Linux.Jac.8759是一个专门感染Linux系统下的文件的病毒，可以感染与其同相文件夹下的全部后缀为ELF的可运行文件。
　
　　技术特征：当Linux.Jac.8759被运行后，它会检測全部其同样文件夹下的文件，若找到有可写权限的可运行文件，即会感染之。只是，此病毒不会感染以字母ps结尾的文件，也不会感染X86（因特尔）平台下的文件。
　
　　病毒会改动被感染文件头的几个地方。当中一个改动是用来作为感染标记，这就使得病毒不会多次感同一个文件。
　
　　9、病毒名称：
　
　　Linux.Mighty.worm 类别： Unix/Linux蠕虫
　
　　病毒资料： 技术特征：
　
　　这是一个Linux蠕虫，类似前段时间出现的Slapper，都是借助执行Apacheserver软件的Linux
　
　　机器进行传播。一旦找到可感染的机器，此蠕虫便会利用OpenSSLserver（443port）的缓冲溢出漏洞来运行远程的shell指令。有关此漏洞的具体信息，可浏览http://www.kb.cert.org/vuls/id/102795.
　
　　该蠕虫是由四个文件组成：
　
　　a.script.sh：初始的shell脚本，用来下载，编译及运行其它组件；
　
　　b.devnul：32位x86 ELF可运行文件，大约19050字节，它是蠕虫用来扫描互联网的主要部分；
　
　　c.sslx.c：利用OpenSSL漏洞的源码文件，由script.sh进行编译，供devnul使用；
　
　　d.k：32位x86 ELF可运行文件，大约37237字节，它是kaiten后门程序及Ddos工具的Linuxport。
　
　　当初始shell程序（script.sh）执行时，它会下载蠕虫的三个组件，并将漏洞代码文件（sslx.c） 编译成二进制文件sslx，然后执行Kaiten后门程序（K）并执行devnul文件。而devnul会扫描互联网上存在漏洞的机器，一旦找到未打补丁的机器，它会执行sslx程序中的缓冲溢出漏洞代码。
　
　　蠕虫一旦进入到一个新系统并在此系统上成功执行的话，它会下载并执行shell脚本（script.sh），这样蠕虫的自我生殖过程就告完毕。
　
　　10、病毒名称：
　
　　Linux.Simile 类别： Win32病毒
　
　　病毒资料： 感染长度：变化不定
　
　　危害级别：低
　
　　受影响系统：Windows 95， Windows 98， Windows NT， Windows 2000， Windows XP， Windows Me， Linux
　
　　不受影响系统：Windows， Microsoft IIS， Macintosh， Unix
　
　　技术特征：
　
　　这是一个很复杂的病毒，利用了模糊入口端点、变形及多态加密技术，也是第一个能在Windows及Linux平台下感染的多态变形病毒。它不含破坏性的有效载荷，但感染文件后，会在特定日期弹出对话框，让人感觉厌烦。该病毒是Simile家族的第四个变种，它引入了一种在Intel Linux平台下的新的感染机制，可感染32位ELF文件（标准的Unix二进制格式）。此病毒可以感染Linux及Win32系统下的PE及ELF文件。
　
　　病毒第一次执行后，会检查当前系统日期，若病毒依附的主文件是PE文件，且在3月或9月17日这天，会弹出一个信息框：
　
　　若主文件是ELF格式，则在3月17或5月14这天，病毒会输出一段类似例如以下的文本信息到控制面板：
　
　　该病毒已被证实能感染Red Hat Linux6.2， 7.0及7.2版本号下的文件，在别的版本号下也极有可能感染。被感染文件平均添加110K字节，但增长的字节数随着病毒的变形引擎缩小或扩展及插入方式的不同而不同。
　
　　11、病毒名称：
　
　　Linux.Slapper.B 类别： Unix/Linux蠕虫
　
　　病毒资料： 危害级别：中
　
　　传播速度：中
　
　　技术特征：
　
　　这是一种感染Linux系统的网络蠕虫，与原版Linux.Slapper.A相似，但有一些新增功能。它会搜索执行Apacheserver的系统，一旦找到能感染的机器，它就会利用Opensslserver的缓冲溢出漏洞来执行远程shell命令。有关此漏洞的具体信息，请浏览：http://www.kb.cert.org/vuls/id/102795
　
　　该变种传播的时候，会携带自己的源码，然后在每台受害机器上进行编译，使得其变成可运行文件。病毒源码文件名称叫“。cinik.c”，会被拷贝到 “/tmp” 文件夹下，而其编译过的文件叫“。cinik”，存放在同一文件夹下，且作为源码的UUEncoded版本号。此变种还含有一个shell脚本/tmp/.cinik.go，用来搜索被感染系统上的文件，然后用蠕虫的二制码覆盖所搜索到的文件。该脚本还会将本地机器及网络的信息通过邮件发送给一个后缀为yahoo.com的邮件地址。
　
　　假如病毒源文件/tmp/cinik.c被用户删除了，它会从某个网站下载源文件的副本，文件名称也叫cinik.c.
　
　　另外，被感染系统还会在UDP 1978port上执行一后门server端程序。与全部后门程序类似，该server端会响应远程未授权用户发送的特殊指令，从而依据指令执行各种不同的操作，比如，当中一条指令是在受感染机器上搜索邮件地址。
　
　　它会扫描全部文件夹（三个特珠文件夹/proc， /dev及/bin除外）下的全部文件，以查找有效的邮件地址。而当中含有字符串“。hlp”及与“webmaster@mydomain.com”同样的地址会被忽略，之外的其它全部邮件地址会作为一清单发送给远程用户起初所指定的IP地址。
　
　　另外，远程未授权用户还可能发送其它一些指令，如：
　
　　a.DOS攻击（TCP或UDP）；
　
　　b.打开或关闭TCP代理（1080port）；
　
　　c.运行随意程序；
　
　　d.获得其它被感染server的名称；
　
　　此变种在扫描可能存在漏洞的机器时，会检查符合例如以下形式的IP地址：
　
　　A. B. 0-255.0-255
　
　　当中B是0到255之间的随意数字；
　
　　A为从下列列表中随机选择的数字：
　
　　3 4 6 8 9 11 12 13 14
　
　　15 16 17 18 19 20 21 22 24
　
　　25 26 28 29 30 32 33 34 35
　
　　38 40 43 44 45 46 47 48 49
　
　　50 51 52 53 54 55 56 57 61
　
　　62 63 64 65 66 67 68 80 81
　
　　128 129 130 131 132 133 134 135 136
　
　　137 138 139 140 141 142 143 144 145
　
　　146 147 148 149 150 151 152 153 154
　
　　155 156 157 170 171 172 173 174 175
　
　　176 177 178 179 180 181 182 183 184
　
　　185 186 187 188 189 190 191 192 193
　
　　194 195 196 198 200 201 202 203 204
　
　　205 206 207 208 209 210 211 212 213
　
　　214 215 216 217 218 219 220 224 225
　
　　226 227 228 229 230 231 232 233 234
　
　　235 236 237 238 239
　
　　12、病毒名称：
　
　　Linux.Slapper.C 类别： Unix/Linux蠕虫
　
　　病毒资料： 技术特征：
　
　　这是一种感染Linux系统的网络蠕虫，与原版Linux.Slapper.A相似，但有一些新增功能。它会搜索执行Apacheserver的系统，一旦找到能感染的机器，它就会利用Opensslserver的缓冲溢出漏洞来执行远程shell命令。有关此漏洞的具体信息，请浏览：http://www.kb.cert.org/vuls/id/102795
　
　　该变种传播的时候，会携带自己的源码，然后在每台受害机器上编译两个可运行程序“。unlock.c”及"update.c"，它们都创建在 “/tmp” 文件夹下。第一个成功编译后的可运行程序叫“httpd” ，位于同样文件夹下。第二个可运行文件"update" 会监听1052port，当输入正确Frethem/index.htm" target="_blank" style=‘text-decoration： underline；color： #0000FF‘>password后，它会同意大量的交互式shell命令通过。另外，该变种还会将受感染机器的主机名及IP地址发送给指定的邮件地址。
　
　　像Slapper.A及Slapper.b一样，被Slapper.c感染过的系统会在UDP 4156port执行一个后门server端程序，该server端会响应远程未授权用户发送的特殊指令，从而依据指令执行各种不同的操作，比如，共中一条指令是在受感染机器上搜索邮件地址。
　
　　它会扫描全部文件夹（三个特殊文件夹/proc， /dev及/bin除外）下的全部文件，以查找有效的邮件地址。而当中含有字符串“。hlp”及与“webmaster@mydomain.com”同样的地址会被忽略，之外的其它全部邮件地址会作为一清单发送给远程用户起初所指定的IP地址。
　
　　另外，远程未授权用户还可能发送其它一些指令，如：
　
　　a.DOS攻击（TCP或UDP）；
　
　　b.打开或关闭TCP代理（1080port）；
　
　　c.运行随意程序；
　
　　d.获得其它被感染server的名称；
　
　　此变种在扫描可能存在漏洞的机器时，会检查符合例如以下形式的IP地址：
　
　　A. B. 0-255.0-255
　
　　当中B是0到255之间的随意数字；
　
　　A为从下列列表中随机选择的数字：
　
　　3 4 6 8 9 11 12 13 14
　
　　15 16 17 18 19 20 21 22 24
　
　　25 26 28 29 30 32 33 34 35
　
　　38 40 43 44 45 46 47 48 49
　
　　50 51 52 53 54 55 56 57 61
　
　　62 63 64 65 66 67 68 80 81
　
　　128 129 130 131 132 133 134 135 136
　
　　137 138 139 140 141 142 143 144 145
　
　　146 147 148 149 150 151 152 153 154
　
　　155 156 157 170 171 172 173 174 175
　
　　176 177 178 179 180 181 182 183 184
　
　　185 186 187 188 189 190 191 192 193
　
　　194 195 196 198 200 201 202 203 204
　
　　205 206 207 208 209 210 211 212 213
　
　　214 215 216 217 218 219 220 224 225
　
　　226 227 228 229 230 231 232 233 234
　
　　235 236 237 238 239