Virus.Linux.Gildo

Класс Virus
Платформа Linux
Описание

Technical Details

Неопасный, резидентный вирус. Написан на языке ассемблер. Использует
системные вызовы syscall при работе с файлами. Записывает себя в середину
ELF файлов. После заражения размер файлов увеличивается на 4096 байт.

При старте вирус раздваивает выполнение основного процесса и продолжает
выполняться после его завершения. Резидентная часть сканирует все каталоги
начиная с корневого. Для каждого найденного файла вирус проверяет права
доступа. Если запись в этот файл разрешена, то вирус заражает его. При
заражении файлов вирус увеличивает размер кодовой секции на 4096 байт и
записывает в освободившееся место свой код. Затем вирус перенастраивает
адреса всех вышестоящих секций и устанавливает новое значение точки входа.
После каждого запуска вирус выводит сообщение:

Gildo virus
email Gildo@jazz.hm (for comments)

В теле вируса присутствуют строки текста:

hello, nice boys, I hope you will enjoy this program written with nasm.
I want to say thanks to all my programmers friend.Bye from Gildo.
The Netwide Assembler 0.98 .symtab .strtab .shstrtab .text .data .sbss
.bss .comment

Также вирус содержит строки с отладочной информацией компилятора:

virus.asm parent parent_process ahah scan_dir c_stat others_permissions
user_permissions group_permissions c_permissions is_regular_file
c1_is_regular_file c2_is_regular_file is_directory c1_is_directory
l_readdir skip_l_readdir e_l_readdir error_stat error_opening_file
e_scan_dir infect_file open no_open_error file_length mmap c_mmap
is_suitable error_suitable c1_is_suitable read_ehdr c_ehdr
is_suitable_space patch_ehdr patch_e_entry patch_e_sh_offset patch_phdrs
l_read_ph dont_patch_phtext dont_patch_ph patch_shdrs l_read_sh
dont_patch_shtext dont_patch_sh find_current_entry_point write suit_error
munmap mmap_error close open_error __exit __bss_start main _edata _end