Sie haben es wahrscheinlich versehentlich mit einem verpfuschten Shell-Befehl geschafft. Ich habe solche Sachen selbst gemacht. Infolgedessen ist es wahrscheinlich mit harmlosen Daten gefüllt. Hier sind ein paar Gründe, warum ich annehmen würde, dass es nicht ist bösartig:
- 1,5 GB wäre ein extrem großer Virus. Da Viren normalerweise über ein Netzwerk übertragen werden, ist kleiner besser.
- Es ist nicht ausführbar.
- Malware versteckt sich normalerweise viel besser.
filedenkt, es ist nur eine Datendatei.
Natürlich beweist nichts davon, dass es nicht bösartig ist (auch bekannt als Viren haben keine klein zu sein, nur weil es nicht ausführbar ist, bedeutet nicht, dass es nicht Teil einer bösartigen Nutzlast ist, und manchmal verstecken sie sich nicht), aber ich vermute, dass dies harmlos ist. Dies ist wahrscheinlich zu alt, aber ich würde sehen, ob Ihr Bash-Verlauf bis zu dem fraglichen Tag/der fraglichen Uhrzeit reicht.
Mir ist klar, dass ich Ihnen keine Hinweise gegeben habe, wie Sie die Datei analysieren können, aber Sie haben bereits die wichtigsten Helfer getroffen (file und strings ), und sie haben nicht geholfen! Eine Datei, die mit zufälligen Daten aus einem fehlerhaften Befehl gefüllt ist, würde erklären, was Sie sehen, und hat wahrscheinlich eine bessere Chance, eine Datei mit dem Namen sudo zu generieren in Ihrem Home-Verzeichnis als Malware, IMO.
Hat jemand Tipps, wie man bei der Untersuchung dieser Datei vorgehen kann?
Seit file die "Daten" nicht als ausführbare Datei erkennt, wird es schwierig sein, eine dynamische Analyse (durch Ausführen) zu versuchen, es sei denn, Sie können den richtigen Einstiegspunkt finden.
Ein weiteres Standard-Linux-Tool, das Sie ausprobieren könnten, ist:
stat
Dadurch erhalten Sie etwas mehr Metadateninformationen als nur die Verzeichnisliste.
Ein weiteres Tool, das Sie ausprobieren könnten, ist:
binwalk
die eine Analyse von Binärdateien wie Firmware-Images bereitstellen kann. Zum Beispiel, wenn die Binärdatei ein Dateisystem binwalk enthält kann es erkennen.
Ein weiteres frei verfügbares Tool für Linux ist „The Sleuth Kit“. Wenn es sich bei der Binärdatei zufällig um ein Raw-Disk-Image oder Dateisystemdaten handelt, können Sie versuchen, sie mit "The Sleuth Kit" zu verarbeiten.
Sie können auch versuchen, die Binärdatei in IDA (den "Interactive Disassembler" von Hexrays - eine Freeware-Version ist verfügbar) abzulegen, um zu sehen, ob IDA daraus einen Sinn ergibt. Aber wenn file erkennt es nicht, ich bin nicht allzu hoffnungsvoll, dass IDA es tun wird.
Ich würde mit history | grep sudo beginnen vom Terminal aus und sehen Sie sich die neuesten sudo-Befehle an, um zu sehen, ob einige falsch formatiert sind.
- Es ist Ihr Home-Verzeichnis.
- Du hast nicht gesagt, dass es ein besonderes Eigentum hat, also gehe ich davon aus, dass es dir gehört.
- Es ist mit ziemlicher Sicherheit ein verpatzter Shell-Befehl, also haben Sie es wahrscheinlich vom Terminal aus gemacht.
- Es könnte etwas sein, das von einem Skript erstellt wurde, aber es ist ziemlich selten, "sudo"-Befehle in ein Skript einzufügen.
- Es zeigt sich offen und offensichtlich, sodass Sie es wahrscheinlich bemerkt hätten, wenn Sie es nicht kürzlich erstellt hätten.