在我国有警告称,该木马感染了某个新闻网站的计算机(该木马的名称为 GOZI)。
我用过clamav但是它说不是最新版本。
如何安装最新版本的clamav?
答案1
卸载clamav和clamtk存储库版本:
sudo apt-get purge clamav clamtk
首先,您需要一些依赖项和构建工具:
sudo apt-get install openssl build-essential libssl-dev checkinstall
下载此文件,它将发送到您的/home:
wget https://www.clamav.net/downloads/production/clamav-0.99.1.tar.gz
提取该文件并更改到它创建的文件夹:
tar -xvzf ~/clamav-0.99.1.tar.gz
cd ~/clamav-0.99.1
现在运行以下命令来构建clamav 0.99.1:
./configure
make
现在构建一个包
sudo checkinstall
checkinstall将指导你构建一个.deb包,完成后运行
sudo dpkg -i ~/clamav-0.99.1/clamav_0.99.1-1_amd64.deb
现在它已安装完毕,但如果你运行这些命令,你可能会遇到有关配置文件的错误(感谢用户特伦斯在这个问题为此,如果你使用它,请给他投票)
sudo dpkg-reconfigure clamav-freshclam
只需继续按 Enter 即可使用默认设置,然后运行
sudo rm -f /usr/local/etc/freshclam.conf
sudo ln -s /etc/clamav/freshclam.conf /usr/local/etc/freshclam.conf
现在你可以运行
sudo clamscan -r /
进行扫描。
已于 15.10 测试。
答案2
摘录自http://www.govcert.admin.ch/blog/21/20min.ch-malvertising-incident
感染链如下:
- 20min.ch 上的 swf 文件包含嵌入的 Javascript,它使用 User Agent 和 Cookie 进行基本指纹识别。根据此信息,可以决定是否重定向到感染站点。
- 重定向到漏洞利用工具包,下载 VB 脚本,并再次检查哪个漏洞利用适合目标
- 使用 .dll 形式感染 Gozi 设备,该 .dll 通过 HKEY\CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 下的注册表项 (rundll) 持久化。dll 位于用户的 %APPDATA% 文件夹中。