拉进ida里面反编译一下

函数名很清晰,看来是没有去掉符号信息

进入checkhost()里面

也很清楚,选择一个存活的域名作为baseurl,后面有用到来下载挖坑程序

进入checkzigw()函数

删除同类的挖坑软件,详细说一下,先pkill zigw进程,改变zigw的属性为可见可修改,使用rm -rf /etc/zigw删除zigw

进入initfile()函数,这个函数比较重要,从服务器下载了挖坑程序并且执行,将自己复制为/tmp/initdz


如果没有httpdz文件,就从服务器下载httpdz并且改属性为777,可读可写可执行

下载挖坑migrations并改成属性可执行


将rm程序改为rmm,并且替换为自己的程序

进入checkcrontab()

因该是设置定时启动,没有仔细分析。。。

竟然checkssh()


替换用户的authorized_keys,用于黑客远程ssh登陆

进入kill()函数

kill同类的挖矿软件,挖矿只能我挖?
这个so文件用于DDos攻击,杀了也好

进入checkservice()

创建挖矿服务

进入checkhost()

修改hosts文件,域名重定向到127.0.0.1使其他挖矿不能工作,挖矿只能我挖?

最后clean()

清除日志信息
history -c清除当前用户的命令信息
echo > /var/log/secure 清除安全日志
echo > /root/.bash_history 删除终端历史记录

样本下载:https://pan.baidu.com/s/1LCUl-CP0GSFNCRjvql2XxA

initdz linux挖坑病毒分析相关推荐

  1. C:/WINDOWS/system32/x 病毒分析和解决建议

    系统出现问题,症状有: 偶尔很卡,CPU并没有很高的进程: 死机,屏幕锁定,键盘失灵,仅鼠标能移动,但是不能任何操作: 只能强行重新启动: NOD32会报以下病毒警告: C:/WINDOWS/syst ...

  2. 《Unix/Linux网络日志分析与流量监控》2014年11月底出版

    2014年11月 <Unix/Linux网络日志分析与流量监控>重磅新书出版 近日,历时3年创作的75万字书稿已完成,本书目前正在出版社清样阶段即将出版发行.本书紧紧围绕网络安全的主题,对 ...

  3. 病毒分析系列 _ 病毒分析环境搭建

    前言 通常进行病毒分析,需要有一个配置好的病毒分析环境,fireeye之前也出过配置好的虚拟机,但是虚拟机安装过程很慢,不如我们自己配置一个,下边对虚拟机的配置和病毒分析的基本原则进行展开说明,打好病 ...

  4. 关于Linux下病毒的话题

    潜在的威胁 病毒 病毒是一小段安置在某个宿主程序核心位置的代码,它能够通过感染新的执行文件来自我复制.病毒最早出现于70年代,当时的程序员在玩一个叫做"core war"的游戏.这 ...

  5. WannaCry勒索病毒分析过程**中**(注)

    WannaCry勒索病毒分析 中(注) 我犯了一个很大的错误,就是在做分析的时候没有确定函数的作用,在分析过程中有捉不到重点的毛病. 在WannaCry.exe的分析中,它在判断打开它的URL后,如果 ...

  6. 病毒分析快速入门01--分析环境搭建

    小C无聊的躺在床上,刷着#开学#话题微博. 都怪这该死的疫情,开学一拖再拖,在教室后排偷看女神的机会又少了. 开学之日恐怕即是毕业之时了,小c 在失去女神背影患得患失的心情中,也不得不考虑 工作的问题 ...

  7. Linux挖矿病毒清理流程

    Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意modu ...

  8. 信息安全 | 病毒分析的基础流程、报告编写、特征提取

    病毒分析的基础流程.报告编写.特征提取 基础流程 静态分析 文件类型 API信息 字符串提取 壳检测 反汇编 动态分析 虚拟机 注册表检测 文件操作检测 进程检测 网络检测 动态调试 常用工具 反汇编 ...

  9. 新型BlackEnergy(word宏)病毒分析

    新型BlackEnergy(word宏)病毒分析 前言 BlackEnergy木马介绍 BlackEnergy木马分析 BlackEnergy木马攻击还原 攻击场景搭建 木马行为分析 总结 目录 0X ...

最新文章

  1. 合肥工业大学—SQL Server数据库实验四:数据库的分离和附加
  2. Visual C#创建资源文件
  3. zookeeper都有哪些使用场景
  4. vb循环 Do While…Loop 语句/Do Until…Loop语句
  5. 无失真压缩法可以减少冗余_CVPR 2020 论文概述:基于深度学习的层级式视频压缩方法...
  6. Leetcode每日一题:20.valid-parentheses(有效的括号)
  7. Javascript ES6 Promise同步读取文件(使用async、await)
  8. Java中创建线程池的正确方法
  9. 深度复盘 | 蚂蚁集团万级规模 k8s 集群基建之路
  10. 产品读书《大数据时代:生活、工作与思维的大变革》
  11. 【效率提高10倍项目原创发布!】深度学习数据自动标注器开源 目标检测和图像分类(高精度高效率)
  12. 数码单反相机与无反光镜相机。选择产品摄影解决方案
  13. 理财APP的低成本ASO优化实战
  14. 解读《大话西游之大圣娶亲》
  15. 网关、路由器、交换机
  16. NOWCODER 虚无的后缀(贪心)
  17. Abode Photoshop CC 2019之更换图片颜色
  18. 七牛C#语言搭建javascript上传--包含后端请求token(前端javascript+后端c#)
  19. Spring微服务实战第1章 欢迎迈入云世界,Spring
  20. Linux 中断管理之ARM GIC V3 初始化

热门文章

  1. 成功解决building ‘snappy._snappy‘ extension error: Microsoft Visual C++ 14.0 is required. Get it with “B
  2. Interview:算法岗位面试—上海某公司算法岗位(偏数据分析,互联网行业)技术面试考点之特征工程考察点
  3. DL之CNN:基于CRNN_OCR算法(keras,CNN+RNN)利用数据集(torch,mdb格式)训练来实现新图片上不定长度字符串进行识别—训练过程
  4. Silverlight学习(一) 创建Silverlight项目,构建一个简单的Silverlight Demo
  5. rabbitMQ(二):Fanout Exchange
  6. 观察者模式--模拟3D彩票公众号
  7. bzoj2424 订货
  8. hdu_4391,线段树
  9. [PHP]用PHPUnit进行行为驱动开发(Behaviour-Driven Development)
  10. C++的cout高阶格式化操作