Pravděpodobně jste to udělali náhodou pomocí zpackaného příkazu shellu. Sám jsem takové věci dělal. V důsledku toho je pravděpodobně naplněn neškodnými údaji. Zde je několik důvodů, proč bych to tipoval ne škodlivý:
- 1,5 GB by byl extrémně velký virus. Vzhledem k tomu, že viry jsou obvykle přenášeny po síti, menší je lepší.
- Není spustitelný.
- Malware se obvykle skrývá mnohem lépe než toto.
file
si myslí, že je to jen datový soubor.
Nic z toho samozřejmě nedokazuje, že to není škodlivé (viry také nemají být malý, jen proto, že není spustitelný, neznamená, že nemusí být součástí škodlivého nákladu, a někdy se neobtěžují skrývat), ale mám podezření, že je to neškodné. Toto je pravděpodobně příliš staré, ale chtěl bych zjistit, zda vaše historie bash sahá k příslušnému dni/času.
Uvědomuji si, že jsem vám nedal žádné rady, jak soubor analyzovat, ale už jste narazili na hlavní pomocníky (file
a strings
), a nepomohli! Soubor plný náhodných dat z chybného příkazu by vysvětlil, co vidíte, a pravděpodobně má větší šanci vygenerovat soubor s názvem sudo
ve vašem domovském adresáři než malware, IMO.
Má někdo nějaké tipy, jak pokračovat ve vyšetřování tohoto souboru?
Od file
nerozpozná "data" jako spustitelný soubor, bude obtížné pokusit se o dynamickou analýzu (spuštěním), pokud nenajdete správný vstupní bod.
Další standardní nástroj Linuxu, který můžete vyzkoušet, je:
stat
To vám poskytne o něco více informací o metadatech, než jaké můžete vidět pouze s výpisem adresáře.
Další nástroj, který můžete vyzkoušet, je:
binwalk
který může poskytnout analýzu binárních souborů, jako jsou obrázky firmwaru. Pokud například binární soubor obsahuje systém souborů binwalk
může to rozpoznat.
Dalším nástrojem volně dostupným na Linuxu je „The Sleuth Kit“. Pokud je binární soubor nezpracovaným obrazem disku nebo daty systému souborů, můžete jej zkusit zpracovat pomocí "The Sleuth Kit."
Můžete také zkusit přenést binární soubor do IDA ("Interactive Disassembler" od Hexrays - je k dispozici bezplatná verze), abyste zjistili, zda to IDA může dávat smysl. Ale pokud file
nerozpozná, moc doufám, že to IDA nebude.
Začal bych s history | grep sudo
z terminálu a podívejte se na nejnovější příkazy sudo, abyste zjistili, zda nejsou některé chybné.
- Je to váš domovský adresář.
- Neřekli jste, že má zvláštní vlastnictví, takže budu předpokládat, že jej vlastníte.
- Je to téměř jistě zpackaný příkaz shellu, takže jste to pravděpodobně udělali z terminálu.
- Může to být něco vytvořeného skriptem, ale vkládat příkazy „sudo“ do skriptu je velmi vzácné.
- Zobrazuje se otevřeně a očividně, takže byste si toho pravděpodobně všimli, kdybyste jej nedávno nevytvořili.