7 sierpnia 2002

Linux.Gildo - infekuje pliki ELF

Jest to rezydentny wirus pasożytniczy. Został stworzony przy pomocy języka programowania Assembler. Wirus wykorzystuje odwołania systemowe w celu uzyskiwania dostępu do infekowanych plików ELF.

Po uruchomieniu wirus skanuje wszystkie katalogi począwszy od katalogu głównego. Szkodnik sprawdza prawa dostępu do każdego znalezionego pliku ELF. Infekowane są tylko pliki, do których można zapisywać. Podczas infekowania wirus zwiększa rozmiar atakowanego pliku o 4096 bajtów i zapisuje swój kod w powstałym w ten sposób wolnym miejscu.

Podczas każdego uruchomienia szkodnik wyświetla następujący komunikat:

Gildo virus
email Gildo@jazz.hm (for comments)

W kodzie wirusa zapisany jest następujący tekst:

hello, nice boys, I hope you will enjoy this program written with nasm. I want to say thanks to all my programmers friend.Bye from Gildo. The Netwide Assembler 0.98 .symtab .strtab .shstrtab .text .data .sbss .bss .comment

Ponadto w kodzie szkodnika zapisane są teksty wygenerowane przez kompilator w procesie debugowania:

virus.asm parent parent_process ahah scan_dir c_stat others_permissions user_permissions group_permissions c_permissions is_regular_file c1_is_regular_file c2_is_regular_file is_directory c1_is_directory l_readdir skip_l_readdir e_l_readdir error_stat error_opening_file e_scan_dir infect_file open no_open_error file_length mmap c_mmap is_suitable error_suitable c1_is_suitable read_ehdr c_ehdr is_suitable_space patch_ehdr patch_e_entry patch_e_sh_offset patch_phdrs l_read_ph dont_patch_phtext dont_patch_ph patch_shdrs l_read_sh dont_patch_shtext dont_patch_sh find_current_entry_point write suit_error munmap mmap_error close open_error __exit __bss_start main _edata _end