Vous l'avez probablement fait par accident avec une commande shell bâclée. J'ai fait des trucs comme ça moi-même. En conséquence, il est probablement rempli de données anodines. Voici quelques raisons pour lesquelles je suppose que ce n'est pas malveillant :
- 1,5 Go serait un virus extrêmement volumineux. Étant donné que les virus sont généralement transmis sur un réseau, plus c'est petit, mieux c'est.
- Il n'est pas exécutable.
- Les logiciels malveillants se cachent généralement bien mieux que cela.
file
pense qu'il ne s'agit que d'un fichier de données.
Bien sûr, rien de tout cela ne prouve qu'il n'est pas malveillant (c'est-à-dire que les virus n'ont pas être petit, ce n'est pas parce qu'il n'est pas exécutable qu'il ne fait pas partie d'une charge utile malveillante, et parfois ils ne prennent pas la peine de se cacher), mais je soupçonne que cela est inoffensif. C'est probablement trop vieux, mais je verrais si votre historique bash correspond au jour/à l'heure en question.
Je me rends compte que je ne vous ai pas donné d'indices sur la façon d'analyser le fichier, mais vous avez déjà touché les principales aides (file
et strings
), et ils n'ont pas aidé ! Un fichier rempli de données aléatoires provenant d'une commande errante expliquerait ce que vous voyez et a probablement de meilleures chances de générer un fichier nommé sudo
dans votre répertoire personnel que les logiciels malveillants, IMO.
Quelqu'un a-t-il des conseils sur la façon de procéder à l'enquête sur ce dossier ?
Depuis file
ne reconnaît pas les "données" en tant qu'exécutable, il sera difficile d'essayer d'analyser dynamiquement (en l'exécutant) à moins que vous ne trouviez le bon point d'entrée.
Un autre outil Linux standard que vous pouvez essayer est :
stat
Cela vous donnera un peu plus d'informations sur les métadonnées que ce que vous pouvez voir uniquement avec la liste des répertoires.
Un autre outil que vous pourriez essayer est :
binwalk
qui peut fournir une analyse de fichiers binaires comme des images de firmware. Par exemple, si le fichier binaire contient un système de fichiers binwalk
peut le reconnaître.
Un autre outil disponible gratuitement sur Linux est "The Sleuth Kit". Si le fichier binaire se trouve être une image disque brute ou des données de système de fichiers, vous pouvez essayer de le traiter avec "The Sleuth Kit".
Vous pouvez également essayer de déposer le binaire dans IDA (le "désassembleur interactif" de Hexrays - une version gratuite est disponible) pour voir si IDA peut le comprendre. Mais si file
ne le reconnaît pas, je n'ai pas trop d'espoir que l'IDA le fasse.
Je commencerais par history | grep sudo
depuis le terminal et regardez les commandes sudo les plus récentes pour voir si certaines sont mal formées.
- C'est votre répertoire personnel.
- Vous n'avez pas dit qu'il a un propriétaire spécial, donc je suppose que vous le possédez.
- C'est presque certainement une commande shell bâclée, donc vous l'avez probablement faite depuis le terminal.
- Il peut s'agir de quelque chose créé par un script, mais il est assez rare de mettre des commandes "sudo" dans un script.
- Il s'affiche ouvertement et de manière évidente, vous l'auriez probablement remarqué si vous ne l'aviez pas créé récemment.