如下的文件的如下:
image.png

沙箱操作如下:
image.png

仍然是执行了命令?脚本
通过Bash执行命令

[card expandable="true" defaultExpand="true"]
[title]告警解释[/title]
[content]
这是一个扫描器类型的恶意软件告警:

  1. 告警类型为"恶意软件",名称为"扫描器"。
  2. 检测引擎判断为一个Linux平台的ssh扫描器木马。
  3. 该文件创建了定时任务,实现持久化。
  4. 发现该文件存在UDP和TCP通信行为,目标是多个可疑IP和域名,尤其是SSH端口22。
  5. 还存在对/etc/passwd文件的读取行为,可能用于窃取用户信息。
  6. 文件包含多平台架构字符串,可能是跨平台木马。
  7. 有文件重命名、DNS查询等其他可疑行为。

综上,该文件具有创建定时任务、连接可疑IP、窃取用户信息、跨平台等扫描器木马的特征,可以判断为一个Linux平台的扫描器型木马。需要立即隔离该文件,检查系统是否已被入侵。

这里使用了反侦测技术:
image.png

image.png

mimicmaster.online: 目标地址:

选择病毒查杀即可:


执于代码
1 声望0 粉丝