Ganiw 僵尸网络恶意软件

Ganiw 僵尸网络恶意软件

我的系统管理员通知我,我的 Ubuntu 16 PC 已被名为“Ganiw”的僵尸网络感染。互联网上的信息非常少,您能给我一些关于如何删除它的建议吗?

谢谢

答案1

在谷歌上找到的链接:Telus 安全实验室并深入分析安全列表。最后一个充满了暗示。后门被描述为(来自第一个链接)...

Backdoor.Linux.Ganiw.A 是一个针对 Linux 平台的后门和机器人代理。该恶意软件会联系远程服务器,识别自身并发送系统信息。此外,它还会接收控制命令,在受感染的系统上执行各种恶意活动。此外,该恶意软件还能够发起不同类型的 DoS 攻击。为了在系统重启后继续存在,它会在初始化目录“/etc/init.d”中添加一个条目。

由此你可以推断出两件事:

  • 如果是“Backdoor.Linux.Ganiw.a (cupsdd)”:检查/etc/init.d执行此操作的文件。“恶意软件还会在 /etc/rc[1-5].1/S97DbSecuritySpt 中创建指向脚本的符号链接”。如果是“Backdoor.Linux.Ganiw.a (cupsddh)”,则“它会创建文件 /tmp/bill.lock,其中存储当前进程的 PID。cupsddh 将系统数据存储在结构 g_statBase 中,该结构与 cupsdd 使用的结构相同。”它还会检查“/usr/libamplify.so”,该文件包含配置(而不是库)(所有这些都来自第二个链接)。

    因此请检查这些文件。(大部分内容来自第二个链接)

  • 检查您的传出连接(例如您的路由器日志)上可疑的传出连接。

我不同意另一个答案:不要让 clamav “修复”这个问题……如果你的系统上有这个问题,请重新安装它并恢复备份(并确认备份是干净的)。并获得一个比现在更好的密码:它有你的管理员密码,否则它无法安装/etc/

请确认您确实有这个后门。这是我第一次看到有人有这个后门 ;-)

答案2

也许 clamav 会检测并隔离该恶意软件,因为 Ganiw 自 2016 年 6 月左右就已存在于 clamav 库中:virustotal.com/en/file/69070048be6a27d5c9179f412aea9ef00d10ce8cdd99f881447335e15e464ec7/analysis/

可以在 apt 存储库中找到适用于 Ubuntu 的 ClamAV。在终端窗口中运行此命令来安装 ClamAV:

sudo apt-get install clamav

如果您想要安装 clamav 守护进程“clamd”在后台运行,您可能还需要输入:

sudo apt-get install clamav-daemon

欲了解更多信息,请点击此 clamav 网站页面上的“Ubuntu”链接:https://www.clamav.net/downloads#otherversions

相关内容