Энциклопедия компьютерных вирусов
         

Неопасный нерезидентный вирус. Заражает выполняемые


Неопасный нерезидентный вирус. Заражает выполняемые файлы Linux (разновидность UNIX). Имеет формат ELF и работают только под Linux. Является вторым известным вирусом, заражающим выполняемые файлы Linux (первый — Linux.Bliss).

В Linux предусмотрена защита доступа, т.е. пользователь и программы имеют доступ к файлам и каталогам в зависимости от установленных привилегий. То же относится к вирусу: он заражает файлы только в тех каталогах, к которым имеет доступ запустивший вирус пользователь. Если же пользователь имеет системные привилегии, то вирус может распространиться по всему компьютеру.

При запуске зараженного файла управление передается на код вируса. Вирус ищет исполняемые файлы в текущем каталоге и записывается в их середину. При заражении вирус записывается в первую обнаруженную секцию кода, предварительно увеличив ее размер на 4096 байт. Для этого вирус разбирает внутренний формат файла (ELF-формат), считывает заголовки секций, определяет адрес первой секции кода, сдвигает ее и все последующие секции вниз, записывает свой собственный код в образовавшееся пространство и затем необходимям образом корректирует заголовки секций и адрес «точки входа» — адрес процедуры, на которую передается управление при запуске файла. В зараженных файлах адрес «точки входа» указывает на код вируса.

Файл до заражения: файл после заражения:

+---------------+ +---------------+ | ELF Headers |--+ | ELF Headers |--+ | | | | | | |---------------| | |---------------|<-+ точка входа | Section 1 |<-+ точка +-| Virus | в вирус | | входа | | - - - - - - - | |---------------| +>| Section 1 | | Section 2 | | | |---------------| |---------------| . . . | Section 2 | |---------------| |---------------| | Section n | . . . +---------------+ |---------------| | Section n | +---------------+

Вирус принимает специальные меры для предотвращения повторного заражения файлов. Заражение происходит достаточно корретно — в проведенных тестах зараженные файлы сохраняли свою работоспособность.

При заражении файлов вирус использует временный файл VI324.TMP, что послужило причиной для выбора имени вируса.


Содержание раздела