安全威胁无孔不入：基于Linux系统的病毒

尽管在Linux里传播的病毒不多，但也是存在一些，我从一些安全站点搜集了一些资料。

1、病毒名称：

Linux.Slapper.Worm

类别： 蠕虫

病毒资料： 感染系统：Linux

不受影响系统：Windows3.x， Windows 95， Windows 98， Windows NT， Windows 2000， Windows XP， Windows Me， Macintosh

病毒传播：

端口：80， 443， 2002

感染目标：各版本Linux系统上的ApacheWeb服务器

技术特征：

该蠕虫会试图不断连接80端口，并向服务器发送无效的“GET”请求，以识别Apache系统。一旦发现Apache系统，它会连接443端口，并向远程系统上的监听SSL服务发送恶意代码。

此蠕虫利用了Linux Shell代码仅能在英特尔系统上运行的漏洞。该代码需要有shell命令/bin/sh才能正确执行。蠕虫利用了UU编码的方法，首先将病毒源码编码成".bugtraq.c"（这样就使得只有"ls -a"命令才能显示此代码文件），然后发送到远程系统上，再对此文件进行解码。之后，它会利用gcc来编译此文件，并运行编译过的二进制文件".bugtraq".这些文件将存放在/tmp目录下。

蠕虫运行时利用IP地址作为其参数。这些IP地址是黑客攻击所使用的机器的地址，蠕虫用它来建立一个利用被感染机器发动拒绝服务攻击的网络。每个被感染的系统会对UDP端口2002进行监听，以接收黑客指令。

此蠕虫利用后缀为如下数字的固定IP地址对Apache系统进行攻击：

3， 4， 6， 8， 9， 11， 12， 13， 14， 15， 16， 17， 18， 19， 20， 21， 22， 24， 25， 26， 28， 29， 30， 32， 33， 34， 35， 38， 40， 43， 44， 45， 46， 47， 48， 49， 50， 51， 52， 53， 54， 55， 56， 57， 61， 62， 63， 64， 65， 66， 67， 68， 80， 81， 128， 129， 130， 131， 132， 133， 134， 135， 136， 137， 138， 139， 140， 141， 142， 143， 144， 145， 146， 147， 148， 149， 150， 151， 152， 153， 154， 155， 156， 157， 158， 159， 160， 161， 162， 163， 164， 165， 166， 167， 168， 169， 170， 171， 172， 173， 174， 175， 176， 177， 178， 179， 180， 181， 182， 183， 184， 185， 186， 187， 188， 189， 190， 191， 192， 193， 194， 195， 196， 198， 199， 200， 201， 202， 203， 204， 205， 206， 207， 208， 209， 210， 211， 212， 213， 214， 215， 216， 217， 218， 219， 220， 224， 225， 226， 227， 228， 229， 230， 231， 232， 233， 234， 235， 236， 237， 238， 239

2、病毒名称：

Trojan.Linux.Typot.a

类别： 木马病毒

病毒资料： 破坏方法：

该病毒是在Linux操作系统下的木马，木马运行后每隔几秒就发送一个TCP包，其目的IP和源IP地址是随机的，这个包中存在固定的特征，包括 TCP window size等<在这里为55808>，同时，病毒会嗅探网络，如果发现TCP包的window size等于55808，就会在当前目录下生成一个文件<文件名为：r>，每隔24小时，病毒检测是否存在文件 “r”，如果存在，就会试图连接固定的IP地址<可能为木马的客户端>，如果连接成功，病毒就会删除文件：/tmp/……/a并退出

3、病毒名称：

Trojan.Linux.Typot.b 类别： 木马病毒

病毒资料： 破坏方法：

该病毒是在Linux操作系统下的木马，木马运行后每隔几秒就发送一个TCP包，其目的IP和源IP地址是随机的，这个包中存在固定的特征，包括 TCP window size等<在这里为55808>，同时，病毒会嗅探网络，如果发现TCP包的window size等于55808，就会在当前目录下生成一个文件<文件名为：r>，每隔24小时，病毒检测是否存在文件 “r”，如果存在，就会试图连接固定的IP地址<可能为木马的客户端>，如果连接成功，病毒就会删除文件：/tmp/……/a并退出

4、病毒名称：

W32/Linux.Bi 类别： WL病毒

病毒资料： W32/Linux.Bi 是个跨平台病毒，长度 1287 字节，感染 Linux， Windows 2000， Windows 95， Windows 98， Windows Me， Windows NT， Windows Server 2003， Windows XP 操作系统，它根据操作系统类型感染当前目录的可执行文件。当收到、打开此病毒后，有以下现象：

A 感染当前目录下的长度在4K和4M之间的可执行文件，（不感染windows下的dll文件）

5、病毒名称：

Linux.Plupii.C 类别： Linux病毒

病毒资料： Linux.Plupii.C 是一个Linux病毒，该病毒长度 40，7576 字节，感染 Linux， Novell Netware， UNIX系统，它通过系统漏洞传播，该病毒感染的现象为：

A 在 UDP 端口 27015 打开后门，允许黑客远程控制计算机

B 生成 IP 地址，添加以下内容生成 URL 地址

/cvs/

/articles/mambo/

/cvs/mambo/

/blog/xmlrpc.php

/blog/xmlsrv/xmlrpc.php

/blogs/xmlsrv/xmlrpc.php

/drupal/xmlrpc.php

/phpgroupware/xmlrpc.php

/wordpress/xmlrpc.php

/xmlrpc/xmlrpc.php

C 向上述地址发送http请求，尝试通过以下漏洞传播

PHP 的 XML-RPC 远程注入攻击 （见漏洞列表 ID 14088

http://www.securityfocus.com/bid/14088 ）

AWStats日志插件参数输入确定漏洞 （见漏洞列表 ID 10950

http://www.securityfocus.com/bid/10950 ）

Darryl 外围远程执行命令漏洞 （见漏洞列表 ID 13930

http://www.securityfocus.com/bid/13930 ）

D 当发现存在漏洞的计算机，病毒利用漏洞从 198.170.105.69 下载脚本文件到存在漏洞的计算机并执行

E 下载以下病毒到/tmp/.temp目录，感染计算机

cb （病毒 Linux.Plupii.B）

https （Perl脚本后门病毒）

ping.txt （Perl脚本外壳后门病毒。）

httpd

F 试图连接预定地址的 TCP 端口 8080 ，打开一个外壳后门

G 打开 IRC 后门，连接以下 IRC 服务器

eu.undernet.org

us.undernet.org

195.204.1.130

194.109.20.90

病毒查找加入含有lametrapchan 字符串的频道，等待黑客命令