为什么恶意软件会试图删除其他恶意软件？

Question

最近，我的基于php的网站感染了恶意软件(可能是被窃取的ftp密码)。

基本上，每30分钟上传一次文件frame_cleaner_php.php，然后对其执行HTTP，然后将其删除。我截取了一份文件并分析了它。

它一点也不模糊，而且很容易读懂。

本质上，它递归地扫描所有php-文件，查找其他常见恶意软件(如<?php eval(base64_decode("或<?PHP # Web Shell by oRb)感染的20个签名，并粗略地删除了感染的代码行。

因为一个假阳性，我自己的php文件中的一些行被删除，导致了站点的下降。这可能只是恶意软件的意外副作用。

最大的问题是:恶意软件为什么要这么做，有什么好处？

Answer 1

在我看来，有两种解释。

为了盒子

而打架

不同的恶意软件类型想要单枪匹马地拥有这个盒子，而不是和其他人分享它。因此，它将尝试修补系统并删除其他恶意软件，并为创建者留下后门。

伦理蠕虫

仅用于修补和删除其他恶意软件的恶意软件通常被称为“白色蠕虫”或“道德蠕虫”。这些类型的蠕虫有很多责任问题，所以它们很少被发现。

2022.04.17编辑：

反取证，反逆向工程

恶意软件也可能被错误地放置在系统上。受意外感染，攻击者会想要删除它，以防止分析。

Answer 2

扩展Karrax的回答：

因为一个盒子感染的越多，感染的几率就越高(至少有一个)，如果这个盒子被清除/清除，恶意软件的游戏就结束了。

因此，通过清理其他感染和/或修补系统，恶意软件正试图维护自己的存在。

Answer 3

一些恶意软件作者属于不喜欢其他恶意软件作者的群体。这就像一支不喜欢另一支球队的足球队，他们都希望看到足球的进一步发展，但他们不希望另一支球队在比赛发生时在场。