ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.Linux.Gildo

Classe Virus
Plataforma Linux
Descrição

Detalhes técnicos

Não é um vírus parasita perigoso e residente na memória. Foi escrito na linguagem assembler. Usa chamadas do sistema (syscall) enquanto trabalha com arquivos. O vírus infecta arquivos ELF. Ele se escreve no meio do arquivo.

Depois de iniciado o vírus divide um processo principal e continua seu trabalho. A parte residente verifica os diretórios da raiz. O vírus verifica o direito de acesso para cada arquivo encontrado. Se o arquivo tiver um acesso de gravação, o vírus irá infectá-lo. Enquanto infecta o arquivo, o vírus aumenta seu tamanho de seção de código em 4096 bytes e grava seu código no espaço livre. Depois disso, o vírus altera os parâmetros para as seções superiores do arquivo ELF e configura um novo ponto de entrada para ele. O vírus exibe a mensagem em cada início:

Vírus Gildo
email Gildo@jazz.hm (para comentários)

O vírus contém as cadeias de texto:

Olá, rapazes legais, espero que gostem deste programa escrito com nasm. Quero agradecer a todos os meus programadores friend.Bye de Gildo. O Netwide Assembler 0,98 .symtab .strtab .shstrtab .text .data .sbss .bss .comment

Também contém as cadeias de depuração do compilador:

virus.asm pai parent_process ahah scan_dir c_stat others_permissions user_permissions group_permissions c_permissions is_regular_file c1_is_regular_file c2_is_regular_file is_directory c1_is_directory l_readdir skip_l_readdir e_l_readdir error_stat error_opening_file e_scan_dir infect_file aberta no_open_error file_length mmap c_mmap is_suitable error_suitable c1_is_suitable read_ehdr c_ehdr is_suitable_space patch_ehdr patch_e_entry patch_e_sh_offset patch_phdrs l_read_ph dont_patch_phtext dont_patch_ph patch_shdrs l_read_sh dont_patch_shtext dont_patch_sh find_current_entry_point escrever munmap suit_error mmap_error close open_error __exit __bss_start principal _edata _end


Link para o original