Probablemente lo hiciste por accidente con un comando de shell fallido. Yo mismo he hecho cosas así. Como resultado, probablemente esté lleno de datos inocuos. Aquí hay algunas razones por las que supongo que no malicioso:
- 1,5 GB sería un virus extremadamente grande. Dado que los virus generalmente se transmiten a través de una red, cuanto más pequeño, mejor.
- No es ejecutable.
- El malware normalmente se esconde mucho mejor que esto.
filepiensa que es solo un archivo de datos.
Por supuesto, nada de eso prueba que no sea malicioso (es decir, los virus no tienen para ser pequeño, el hecho de que no sea ejecutable no significa que no sea parte de una carga maliciosa y, a veces, no se molestan en esconderse), pero sospecho que esto es inofensivo. Esto probablemente sea demasiado antiguo, pero vería si su historial de bash va al día/hora en cuestión.
Me doy cuenta de que no te he dado ninguna pista sobre cómo analizar el archivo, pero ya has accedido a los ayudantes principales (file y strings ), ¡y no han ayudado! Un archivo lleno de datos aleatorios de un comando erróneo explicaría lo que está viendo y probablemente tenga más posibilidades de generar un archivo llamado sudo en su directorio de inicio que el malware, en mi opinión.
¿Alguien tiene algún consejo sobre cómo continuar investigando este archivo?
Desde file no reconoce los "datos" como ejecutables, será difícil intentar analizarlos dinámicamente (ejecutándolos) a menos que pueda encontrar el punto de entrada adecuado.
Otra herramienta estándar de Linux que puede probar es:
stat
Esto le dará un poco más de información de metadatos de lo que puede ver con solo la lista de directorios.
Otra herramienta que podría probar es:
binwalk
que puede proporcionar análisis de archivos binarios como imágenes de firmware. Por ejemplo, si el archivo binario contiene un sistema de archivos binwalk puede reconocerlo.
Otra herramienta disponible gratuitamente en Linux es "The Sleuth Kit". Si el archivo binario resulta ser una imagen de disco sin procesar o datos del sistema de archivos, puede intentar procesarlo con "The Sleuth Kit".
También puede intentar colocar el binario en IDA (el "Desensamblador interactivo" de Hexrays; hay una versión gratuita disponible) para ver si IDA puede encontrarle sentido. Pero si file no lo reconoce, no tengo muchas esperanzas de que IDA lo haga.
Empezaría con history | grep sudo desde la terminal y mire los comandos sudo más recientes para ver si alguno tiene un formato incorrecto.
- Es su directorio de inicio.
- No has dicho que tiene una propiedad especial, así que asumiré que eres el propietario.
- Es casi seguro que se trata de un comando fallido del shell, por lo que probablemente lo haya creado desde la terminal.
- Puede ser algo creado por una secuencia de comandos, pero es bastante raro poner comandos "sudo" en una secuencia de comandos.
- Se muestra abierta y obviamente, por lo que probablemente lo habrías notado si no lo hubieras creado recientemente.