如下的文件的如下:
沙箱操作如下:
仍然是执行了命令?脚本
通过Bash执行命令
[card expandable="true" defaultExpand="true"]
[title]告警解释[/title]
[content]
这是一个扫描器类型的恶意软件告警:
- 告警类型为"恶意软件",名称为"扫描器"。
- 检测引擎判断为一个Linux平台的ssh扫描器木马。
- 该文件创建了定时任务,实现持久化。
- 发现该文件存在UDP和TCP通信行为,目标是多个可疑IP和域名,尤其是SSH端口22。
- 还存在对/etc/passwd文件的读取行为,可能用于窃取用户信息。
- 文件包含多平台架构字符串,可能是跨平台木马。
- 有文件重命名、DNS查询等其他可疑行为。
综上,该文件具有创建定时任务、连接可疑IP、窃取用户信息、跨平台等扫描器木马的特征,可以判断为一个Linux平台的扫描器型木马。需要立即隔离该文件,检查系统是否已被入侵。
这里使用了反侦测技术:
mimicmaster.online: 目标地址:
选择病毒查杀即可:
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。