CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.Linux.Gildo

Classe Virus
Plateforme Linux
Description

Détails techniques

Ce n'est pas un virus parasitaire résidant en mémoire, dangereux. Il a été écrit dans la langue de l'assembleur. Il utilise les appels système (syscall) tout en travaillant avec des fichiers. Le virus infecte les fichiers ELF. Il écrit lui-même au milieu du fichier.

Après le démarrage, le virus divise un processus principal et poursuit son travail. La partie résidente analyse les répertoires à partir de la racine. Le virus vérifie le droit d'accès pour chaque fichier trouvé. Si le fichier a un accès en écriture, le virus l'infectera. Tout en infectant le fichier, le virus augmente sa taille de section de code sur 4096 octets et écrit son code dans l'espace libre. Après cela, le virus modifie les paramètres des sections supérieures du fichier ELF et configure un nouveau point d'entrée pour celui-ci. Le virus affiche le message à chaque démarrage:

Virus Gildo
email Gildo@jazz.hm (pour les commentaires)

Le virus contient les chaînes de texte:

bonjour, gentils garçons, j'espère que vous apprécierez ce programme écrit avec nasm. Je tiens à dire merci à tous mes programmeurs friend.Bye de Gildo. Le Netwide Assembler 0.98 .symtab .strtab .shstrtab .text .data .sbss .bss .comment

Il contient également les chaînes de débogage du compilateur:

virus.asm parent parent_process ahah scan_dir C_STAT others_permissions user_permissions group_permissions c_permissions is_regular_file c1_is_regular_file c2_is_regular_file is_directory c1_is_directory l_readdir skip_l_readdir e_l_readdir error_stat error_opening_file e_scan_dir infect_file ouvert no_open_error file_length mmap c_mmap is_suitable error_suitable c1_is_suitable read_ehdr c_ehdr is_suitable_space patch_ehdr patch_e_entry patch_e_sh_offset patch_phdrs l_read_ph dont_patch_phtext dont_patch_ph patch_shdrs l_read_sh dont_patch_shtext dont_patch_sh find_current_entry_point écrire suit_error munmap mmap_error fermer open_error __exit __bss_start principal _edata _end


Lien vers l'original