ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.Linux.Gildo

Clase Virus
Plataforma Linux
Descripción

Detalles técnicos

No es un virus parásito peligroso que resida en la memoria. Fue escrito en el lenguaje ensamblador. Utiliza llamadas al sistema (syscall) mientras trabaja con archivos. El virus infecta los archivos ELF. Se escribe en el medio del archivo.

Después de que comience, el virus divide un proceso principal y continúa su trabajo. La parte residente escanea los directorios desde la raíz. El virus comprueba el derecho de acceso para cada archivo encontrado. Si el archivo tiene acceso de escritura, el virus lo infectará. Mientras infecta el archivo, el virus aumenta su tamaño de sección de código en 4096 bytes y escribe su código en el espacio libre. Después de eso, el virus cambia los parámetros para las secciones superiores del archivo ELF y configura un nuevo punto de entrada para él. El virus muestra el mensaje en cada inicio:

Virus Gildo
correo electrónico Gildo@jazz.hm (para comentarios)

El virus contiene las cadenas de texto:

hola, buenos chicos, espero que disfruten este programa escrito con nasm. Quiero agradecer a todos mis programadores friend.Bye de Gildo. El ensamblador de Netwide 0.98 .symtab .strtab .shstrtab .text .data .sbss .bss .comment

También contiene las cadenas de depuración del compilador:

virus.asm padres parent_process ahah scan_dir c_stat others_permissions user_permissions group_permissions c_permissions is_regular_file c1_is_regular_file c2_is_regular_file is_directory c1_is_directory l_readdir skip_l_readdir e_l_readdir error_stat error_opening_file e_scan_dir infect_file abierta no_open_error file_length mmap c_mmap is_suitable error_suitable c1_is_suitable read_ehdr c_ehdr is_suitable_space patch_ehdr patch_e_entry patch_e_sh_offset patch_phdrs l_read_ph dont_patch_phtext dont_patch_ph patch_shdrs l_read_sh dont_patch_shtext dont_patch_sh find_current_entry_point escribir munmap suit_error mmap_error close open_error __exit __bss_start _edata_end principal


Enlace al original