工具介绍

Linux恶意软件检测工具(LMD)是一个GNU GPLv2许可下发布的Linux恶意软件扫描器，其设计理念是是针对在共享主机环境中所面临的威胁。它使用来自网络边界的入侵检测系统的威胁数据，提取当前被经常用于攻击的恶意软件，并针对检测到的恶意软件生成标识。此外，数据的威胁也来自于用户通过LMD上传功能提交的恶意软件，以及从恶意软件联盟中获取到的资源。LMD使用的签名，是MD5散列和 HEX模式匹配，他们也能较为容易地输出到其他的检测工具如ClamAV。

这款工具的出现背景是因为当前支持对Linux系统恶意程序检测的开源或者免费工具，有着较高的误报和漏报率。许多防病毒产品对于linux平台上的恶意程序检测却有着一个较差的威胁检测跟踪记录，特别是针对在共享的主机环境。
 

共享主机环境的威胁环境相比于其他环境是较为独特的，标准的AV产品检测组件，他们的检测目标主要是OS级别的木马，rootkit和传统的感染文件病毒，但是却忽略了越来越多的用户帐户级上的恶意软件，而这些一般被攻击者作为攻击的平台或者跳板。

从目前来看，支持多用户共享环境的恶意软件检测、修复的商业产品依然表现糟糕。通过LMD 1.5检测，可针对8883种恶意软件的哈希值进行分析识别，而相比之下，近30款商业防病毒和恶意软件的产品的表现，却令人不太满意。检测结果如下，

从上面的数据我们可以看到，有6931种(约占总数78%)的威胁，未被商业防病毒和恶意软件产品发现。而检测到的1951个威胁中，商业防病毒和恶意软件产品的平均检出率为58%，较低和较高的检出率分别为10%和100%。从以上的数据看，目前的多用户共享环境恶意程序威胁检测应该是开发的重点。

功能特点

-文件MD5哈希值检测，快速识别威胁

-用于识别威胁变量的HEX模式匹配

-拥有对模糊威胁进行检测的统计分析组件(例如：Base64编码)

-作为性能改进的扫描引擎，与ClamAV等工具进行联合检测

-通过-u|-update进行签名更新

-通过-d|-update更新集成的版本功能

-通过扫描最近的选项来扫描在一定时间内已添加/改变的文件

-全路径扫描

-上传可疑的恶意软件到rfxn.com对其哈希值进行重查

-查看扫描结果的报表系统

-在安全的方式中存储威胁的隔离队列

-隔离批处理的选项，以隔离当前或过去的扫描结果

-隔离恢复选项，将文件还原到原路径

-针对恶意代码注入的字符串的清除规则

-清除批处理选项，可清除之前的扫描报告

-清除规则针对Base64和gzinflate

-每日定时对过去24小时用户homedirs上进行扫描

-基于内核inotify实时对文件的创建/修改进行扫描

-基于内核inotify监控标准输入或文件

-基于内核inotify监控系统用户的操作特征

-基于内核inotify监控可配置的用户的HTML root

数据来源

LMD不仅仅是基于签名和哈希值地对恶意软件进行检测，它也收集外部其他环境的威胁以及其他被检测到的威胁，来提高它本身的检测能力。

针对恶意软件的数据，用于生成LMD签名主要有四个来源：

1、来自网络边界的IPS:网络管理作为日常工作的一部分，因为其主要是网站相关的，比如网站服务器经常会收到大量的滥用事件，而所有这一切都是通过网络边界的IPS进行记录。IPS事件被进行处理，从其中提取到恶意URL，将编码成playload和Base64 / GZIP的滥用数据进行解码，最终对恶意软件进行检索，分类，然后生成适签名。LMD的签名，绝大多数是来自IPS提取的数据。

2、来自社区联盟数据：数据的收集是从多个恶意社区网站如clean-mx和malwaredomainlist，然后对新的恶意软件进行处理检索，分类审查，然后生成签名。

3、来自ClamAV：从ClamAV上的Hex和MD5签名监测到相关更新，并适用于低的目标用户群加入到 LMD中。而到目前为止，已经有大约400个签名从ClamAV移植到LMD项目，而LMD项目也贡献回ClamAV超过1100个签名，目前也继续在现有基础上这么做。

4、来自用户提交：LMD具有校验功能，允许用户提交可疑的恶意软件进行审查，这已经成为一个非常受欢迎的功能，它平均每周可提交30-50个可疑恶意软件。

原文链接：http://sec.chinabyte.com/297/13606797.shtml

(责任编辑：腰编辑)