Probabilmente l'hai fatto per caso con un comando di shell fallito. Ho fatto cose del genere anch'io. Di conseguenza è probabilmente pieno di dati innocui. Ecco alcuni motivi per cui immagino che non lo sia dannoso:
- 1,5 GB sarebbe un virus estremamente grande. Dal momento che i virus vengono generalmente trasmessi su una rete, più piccolo è meglio.
- Non è eseguibile.
- I malware in genere si nascondono molto meglio di così.
file
pensa che sia solo un file di dati.
Ovviamente niente di tutto ciò dimostra che non è dannoso (ovvero i virus non hanno essere piccolo, solo perché non è eseguibile non significa che potrebbe non far parte di un payload dannoso, e talvolta non si preoccupano di nascondersi), ma sospetto che sia innocuo. Questo è probabilmente troppo vecchio, ma vedrei se la cronologia di bash arriva al giorno/ora in questione.
Mi rendo conto di non averti dato alcun suggerimento su come analizzare il file, ma hai già raggiunto i principali helper (file
e strings
), e non hanno aiutato! Un file pieno di dati casuali da un comando errato spiegherebbe cosa stai vedendo e probabilmente ha maggiori possibilità di generare un file chiamato sudo
nella tua home directory rispetto al malware, IMO.
Qualcuno ha qualche consiglio su come procedere nell'indagine su questo file?
Da file
non riconosce i "dati" come eseguibili, sarà difficile tentare di analizzarli dinamicamente (eseguendoli) a meno che non si riesca a trovare il punto di ingresso corretto.
Un altro strumento Linux standard che potresti provare è:
stat
Questo ti darà un po 'più di informazioni sui metadati rispetto a quello che puoi vedere solo con l'elenco delle directory.
Un altro strumento che potresti provare è:
binwalk
che può fornire l'analisi di file binari come le immagini del firmware. Ad esempio, se il file binario contiene un file system binwalk
potrebbe riconoscerlo.
Un altro strumento disponibile gratuitamente su Linux è "The Sleuth Kit". Se il file binario è un'immagine disco non elaborata o dati del file system, puoi provare a elaborarlo con "The Sleuth Kit".
Potresti anche provare a inserire il binario in IDA (il "Disassembler interattivo" di Hexrays - è disponibile una versione freeware) per vedere se IDA può dargli un senso. Ma se file
non lo riconosce, non sono troppo fiducioso che IDA lo faccia.
Inizierei con history | grep sudo
dal terminale e guarda i comandi sudo più recenti per vedere se qualcuno è malformato.
- È la tua home directory.
- Non hai detto che ha una proprietà speciale, quindi presumo che tu lo possieda.
- Si tratta quasi certamente di un comando di shell mal riuscito, quindi probabilmente l'hai fatto dal terminale.
- Potrebbe essere qualcosa creato da uno script, ma è piuttosto raro inserire comandi "sudo" in uno script.
- Si mostra apertamente e ovviamente, quindi probabilmente l'avresti notato se non l'avessi creato di recente.