Linux.Gildo

Jest to rezydentny wirus paso偶ytniczy. Zosta艂 stworzony przy pomocy j臋zyka programowania Assembler. Wirus wykorzystuje odwo艂ania systemowe w celu uzyskiwania dost臋pu do infekowanych plik贸w ELF.

Po uruchomieniu wirus skanuje wszystkie katalogi pocz膮wszy od katalogu g艂贸wnego. Szkodnik sprawdza prawa dost臋pu do ka偶dego znalezionego pliku ELF. Infekowane s膮 tylko pliki, do kt贸rych mo偶na zapisywa膰. Podczas infekowania wirus zwi臋ksza rozmiar atakowanego pliku o 4096 bajt贸w i zapisuje sw贸j kod w powsta艂ym w ten spos贸b wolnym miejscu.

Podczas ka偶dego uruchomienia szkodnik wy艣wietla nast臋puj膮cy komunikat:

Gildo virus
email Gildo@jazz.hm (for comments)

W kodzie wirusa zapisany jest nast臋puj膮cy tekst:

hello, nice boys, I hope you will enjoy this program written with nasm.
I want to say thanks to all my programmers friend.Bye from Gildo.     
The Netwide Assembler 0.98  .symtab .strtab .shstrtab .text .data .sbss 
.bss .comment

Ponadto w kodzie szkodnika zapisane s膮 teksty wygenerowane przez kompilator w procesie debugowania:

virus.asm parent parent_process ahah scan_dir c_stat others_permissions 
user_permissions group_permissions c_permissions is_regular_file 
c1_is_regular_file c2_is_regular_file is_directory c1_is_directory 
l_readdir skip_l_readdir e_l_readdir error_stat error_opening_file 
e_scan_dir infect_file open no_open_error file_length mmap c_mmap 
is_suitable error_suitable c1_is_suitable read_ehdr c_ehdr 
is_suitable_space patch_ehdr patch_e_entry patch_e_sh_offset patch_phdrs 
l_read_ph dont_patch_phtext dont_patch_ph patch_shdrs l_read_sh 
dont_patch_shtext dont_patch_sh find_current_entry_point write suit_error
munmap mmap_error close open_error __exit __bss_start main _edata _end