In meinem Land gibt es eine Warnung, dass dieser Trojaner Computer über eine Nachrichtenseite infiziert hat (der Trojaner heißt GOZI).
Ich habe es verwendet clamav, aber es heißt, es sei nicht die neueste Version.
Wie installiere ich die neueste Version von clamav?
Antwort1
Deinstallation clamavund clamtkRepository-Version:
sudo apt-get purge clamav clamtk
Zuerst benötigen Sie einige Abhängigkeiten und Build-Tools:
sudo apt-get install openssl build-essential libssl-dev checkinstall
Laden Sie diese Datei herunter. Sie wird an folgende Adresse gesendet /home:
wget https://www.clamav.net/downloads/production/clamav-0.99.1.tar.gz
Extrahieren Sie die Datei und wechseln Sie in den erstellten Ordner:
tar -xvzf ~/clamav-0.99.1.tar.gz
cd ~/clamav-0.99.1
Führen Sie nun zum Erstellen die folgenden Befehle aus clamav 0.99.1:
./configure
make
Erstellen Sie nun ein Paket mit
sudo checkinstall
checkinstallführt Sie durch die Erstellung eines .debPakets und führt anschließend aus
sudo dpkg -i ~/clamav-0.99.1/clamav_0.99.1-1_amd64.deb
Jetzt ist es installiert, aber es können Fehler bezüglich einer Konfigurationsdatei auftreten, wenn Sie diese Befehle ausführen (Danke an den BenutzerTerranceAndiese Fragedafür, wenn Sie es verwenden, geben Sie ihm eine Stimme)
sudo dpkg-reconfigure clamav-freshclam
Drücken Sie einfach die Eingabetaste, um die Standardeinstellungen zu verwenden, und führen Sie dann
sudo rm -f /usr/local/etc/freshclam.conf
sudo ln -s /etc/clamav/freshclam.conf /usr/local/etc/freshclam.conf
Jetzt können Sie eine
sudo clamscan -r /
Um einen Scan durchzuführen.
Getestet am 15.10.
Antwort2
Ausschnitt aushttp://www.govcert.admin.ch/blog/21/20min.ch-malvertising-incident
Die Infektionskette ist wie folgt:
- Die SWF-Datei auf 20min.ch enthält ein eingebettetes Javascript, das einen einfachen Fingerabdruck mithilfe von User Agent und Cookie erstellt. Basierend auf diesen Informationen wird entschieden, ob auf die infizierte Site umgeleitet wird oder nicht.
- Weiterleitung zum Exploit Kit, wo ein VB-Skript heruntergeladen wird, mit einer weiteren Prüfung, welcher Exploit zum Ziel passt
- Infizieren Sie das Gerät mit Gozi in Form einer DLL, die über den Registrierungsschlüssel (rundll) unter HKEY\CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run persistent gemacht wird. Die DLL befindet sich im Ordner %APPDATA% des Benutzers.