Virus.Linux.Staog

Technical Details

Staog является одним из первых вирусов написанных для операционной системы Linux. Написан на ассемблере. Является резидентным вирусом. Для заражения системы пытается получить права суперпользователя, для чего использует ошибки в программном обеспечении:

• ошибку переполнения буфера в команде mount;
• ошибку переполненения буфера в программе dip;
• уязвимость в интепритаторе perl связанную c битом SUID.

После получения прав root’а изменяет права доступа к некоторым системным файлам, в чаcтности к /dev/kmem, — файл делается доступным на чтение и запись для любого пользователя.

После чего происходит подмена системных вызовов в таблице системных вызовов ядра. В результате вирус получает возможность заражать все запускаемые в системе файлы.

Вирус содержит следующие строки:

/tmp/hookup
Staog by Quantum / VLAD
/dev/kmemx/etc/mtab~
/sbin/mount
/tmp/t.dip
/bin/sh
/sbin/dip /tmp/t.dip
chatkey 
/tmp/hs
#!/bin/sh
chmod 666 /dev/kmem
/tmp/hs
#!/usr/bin/suidperl -U
$ENV{PATH}="/bin:/usr/bin";
$>=0;$<=0;
exec("chmod 666 /dev/kmem");
sys_call_table
current
kmalloc
/dev/kmem