Virus.Linux.Balrog.a

Balrog является резидентным вирусом, поражающим машины, работающие под управлением операционной системы Linux. Написан на ассемблере.

Virus.Linux.Balrog.a («Лаборатория Касперского») также известен как: Linux/Ovets (McAfee), Linux.Ovets (Symantec)

Balrog является резидентным вирусом, поражающим машины, работающие под управлением операционной системы Linux. Написан на ассемблере.

При первом запуске в системе вирус проверяет является ли он резидентным и если да, то передает управление оригинальному коду программы; в противном случае вызывается функция заражения. В этом идея вируса не оригинальна и копирует известный вирус Staog.

Вирус перехватывает ситемные вызовы путем модификации таблицы системных вызовов ядра путем изменения загруженного образа ядра — файла /dev/kmem. После этого все запускаемые файлы будут инфицированы.

Отличительной особенностью данного вируса является защита от отладки, которая осуществляется вызовом ptrace из кода программы. Таким образом, становится невозможным ее запуск под отладчиком использующем ptrace (например gdb) или запуск strace, т.к. первый же вызов ptrace вернет ошибку и приложение будет завершено.

Вирус содержит следующие строки:


    * [hAckniX <@))>< PienSteVo]
    * ./ha
    * /dev/kmem