用户拥有的 systemd、sleep、initctl 或 gvfsd 进程的 CPU 使用率行为异常

Question 1

我在运行最新的 Xubuntu LTE 时也遇到了同样的问题，更新了。我还注意到我的互联网连接有问题（DNS 故障、响应速度慢）。有问题的任务可能有多个名称。当然，有一个主任务监控系统并重新打开 CPU 故障任务。运行“top”，即使重命名，也会导致子任务自行终止。查看正在运行的任务的唯一方法是通过任务管理器。如果您删除有问题的文件，它们会重新出现。

所以...拿起我的福尔摩斯帽子，我的家杖，这就是我发现的东西。

该自动启动文件似乎含有使病毒在启动时运行的代码：

~/.config/自动启动/dbus-daemon.desktop

执行代码行：

Exec=/home/(your username)/.local/share/accounts/services/dbus-daemon

此文件似乎含有使病毒获得特权的代码：

〜/ .profile
~/.bashrc
的〜/ .bash_profile

代码：

linux_bash="$HOME/(the path seems to be different, according to dissemination)"
if [ -e "$linux_bash" ];then
setsid "$linux_bash" 2>&1 & disown
fi

由于这些文件的时间戳为 20:33，我搜索了此后修改的所有文件（还有一些，但出于测试目的我已将其删除）：

dom 2019 年 1 月 20 日 20:33:19 WET ./.bash_profile
dom 2019 年 1 月 20 日 20:33:19 WET ./.bashrc
dom 2019 年 1 月 20 日 20:33:19 WET ./.config/autostart/dbus-daemon.desktop
dom 2019 年 1 月 20 日 20:33:19 WET ./.profile
dom 2019 年 1 月 20 日 20:33:19 WET ./.local/share/accounts/services/.dbus-daemon.bin
dom 2019 年 1 月 20 日 20:33:19 WET ./.local/share/icc/.icc-daemon.bin
dom 2019 年 1 月 20 日 20:33:19 WET ./.local/share/icc/.icc-daemon.log
dom 2019 年 1 月 20 日 20:33:24 WET ./.kodi/addons/script.module.python.requests/lib/requests/packages/urllib3/connectionpool.py
dom 2019 年 1 月 20 日 20:34:06 WET ./.local/share/accounts/services/.dbus-daemon.sys
dom 2019 年 1 月 20 日 20:34:08 WET ./.local/share/icc/icc-daemon
dom 2019 年 1 月 20 日 20:34:08 WET ./.local/share/icc/.icc-daemon.sys
dom 2019 年 1 月 20 日 20:34:44 WET ./.local/share/accounts/services/dbus-daemon

传播似乎创建了 3 个文件：

一个时间戳
一个 base64 相似项
令人反感的脚本

我做了什么：

1- 删除自动启动文件；

2- 从 ~/.profile、~/.bashrc、~/.bash_profile 中删除有问题的代码

3-清空~/.cache 文件夹

4-清空 /tmp 文件夹

5- 重新启动

我不知道这个病毒会做什么。如果有人想进一步检查，我确实保存了 HEX 文件。因为我不知道我的机器是如何被感染的，（那个 Kodi urllib3 文件看起来很可疑！）我不能保证这是一个最终的解决方案，尽管现在一切似乎都很好……我会在接下来的几天里检查我的系统，看看是否只有这些。

我希望这对某人有帮助。请原谅我的英语不好...

更新

我还有另一台运行 LibreElec 的机器，也被感染了。

Answer