Ganiw 僵尸网络恶意软件

在谷歌上找到的链接：Telus 安全实验室并深入分析安全列表。最后一个充满了暗示。后门被描述为（来自第一个链接）...

Backdoor.Linux.Ganiw.A 是一个针对 Linux 平台的后门和机器人代理。该恶意软件会联系远程服务器，识别自身并发送系统信息。此外，它还会接收控制命令，在受感染的系统上执行各种恶意活动。此外，该恶意软件还能够发起不同类型的 DoS 攻击。为了在系统重启后继续存在，它会在初始化目录“/etc/init.d”中添加一个条目。

由此你可以推断出两件事：

• 如果是“Backdoor.Linux.Ganiw.a (cupsdd)”：检查/etc/init.d执行此操作的文件。“恶意软件还会在 /etc/rc[1-5].1/S97DbSecuritySpt 中创建指向脚本的符号链接”。如果是“Backdoor.Linux.Ganiw.a (cupsddh)”，则“它会创建文件 /tmp/bill.lock，其中存储当前进程的 PID。cupsddh 将系统数据存储在结构 g_statBase 中，该结构与 cupsdd 使用的结构相同。”它还会检查“/usr/libamplify.so”，该文件包含配置（而不是库）（所有这些都来自第二个链接）。

  因此请检查这些文件。（大部分内容来自第二个链接）

• 检查您的传出连接（例如您的路由器日志）上可疑的传出连接。

我不同意另一个答案：不要让 clamav “修复”这个问题……如果你的系统上有这个问题，请重新安装它并恢复备份（并确认备份是干净的）。并获得一个比现在更好的密码：它有你的管理员密码，否则它无法安装/etc/。

请确认您确实有这个后门。这是我第一次看到有人有这个后门 ;-)

也许 clamav 会检测并隔离该恶意软件，因为 Ganiw 自 2016 年 6 月左右就已存在于 clamav 库中：virustotal.com/en/file/69070048be6a27d5c9179f412aea9ef00d10ce8cdd99f881447335e15e464ec7/analysis/

可以在 apt 存储库中找到适用于 Ubuntu 的 ClamAV。在终端窗口中运行此命令来安装 ClamAV：

sudo apt-get install clamav

如果您想要安装 clamav 守护进程“clamd”在后台运行，您可能还需要输入：

sudo apt-get install clamav-daemon

欲了解更多信息，请点击此 clamav 网站页面上的“Ubuntu”链接：https://www.clamav.net/downloads#otherversions