我國有警告稱該木馬透過新聞網站感染電腦(木馬名稱為 GOZI)。
我用過clamav,但是說不是最新版本。
如何安裝最新版本clamav?
答案1
卸載clamav和clamtk儲存庫版本:
sudo apt-get purge clamav clamtk
首先,您需要一些依賴項和建置工具:
sudo apt-get install openssl build-essential libssl-dev checkinstall
下載此文件,它將轉到您的/home:
wget https://www.clamav.net/downloads/production/clamav-0.99.1.tar.gz
提取該文件並更改為它創建的資料夾:
tar -xvzf ~/clamav-0.99.1.tar.gz
cd ~/clamav-0.99.1
現在運行以下命令來建置clamav 0.99.1:
./configure
make
現在建立一個包
sudo checkinstall
checkinstall將引導您完成包的建置.deb並在完成後運行
sudo dpkg -i ~/clamav-0.99.1/clamav_0.99.1-1_amd64.deb
現在它已安裝,但如果您運行這些命令,您可能會遇到有關設定檔的錯誤(感謝用戶特倫斯在這個問題為此,如果你使用它,請給他投票)
sudo dpkg-reconfigure clamav-freshclam
只需按住 Enter 鍵即可使用預設設置,然後運行
sudo rm -f /usr/local/etc/freshclam.conf
sudo ln -s /etc/clamav/freshclam.conf /usr/local/etc/freshclam.conf
現在你可以運行
sudo clamscan -r /
進行掃描。
15.10 測試。
答案2
摘自http://www.govcert.admin.ch/blog/21/20min.ch-malvertising-incident
感染鏈如下:
- 20min.ch 上的 swf 檔案包含嵌入的 Javascript,它使用使用者代理程式和 Cookie 進行基本指紋辨識。根據此資訊決定是否重定向到感染站點。
- 重定向到漏洞利用工具包,其中下載了 VB 腳本,並再次檢查哪個漏洞程式適合目標
- 使用 .dll 形式的 Gozi 感染設備,該 dll 透過 HKEY\CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 下的登錄項目 (rundll) 永久保存。該 dll 駐留在使用者的 %APPDATA% 資料夾中。