Linux.Zariche.1 представляет собой файловый вирус, способный инфицировать двоичные ELF-файлы, расположенные в той же папке, из которой он был запущен. Подверженные риску заражения файлы формата Executable and Linkable Format (ELF) являются исполняемыми во многих Unix-подобных операционных системах, таких как Linux, FreeBSD и Solaris.
Запустившись на атакуемом компьютере, Linux.Zariche.1 перебирает содержимое текущей папки в поисках ELF-файлов, при этом поиск осуществляется по сигнатуре "0x464C457F" по нулевому смещению файла. Каждый обнаруженный ELF-файл проверяется на наличие строки "=TMZ=", которую вирус использует в качестве маркера заражения. Если такая строка присутствует, вредоносная программа считает, что файл уже инфицирован.
Затем вирус загружает исполняемый файл в память компьютера и зашифровывает его с использованием алгоритма AES с ключом "guilhermethomazi" и iv "0123456789101112". После этого вместо оригинального файла Linux.Zariche.1 сохраняет на диск собственную копию, а в конец этого файла записывает ранее зашифрованные данные.
После завершения процедуры заражения Linux.Zariche.1 сравнивает размер собственного запущенного файла с хранящимся в коде вируса значением. Если текущий размер больше этого значения, вирус помещает зашифрованные данные в файл с именем ".hostbytes<rnd>", где rnd – случайное число от 0 до 100, затем расшифровывает их и перезаписывает файл, после чего запускает его на исполнение.
Существует также модификация Linux.Zariche.1, не использующая в своей работе AES-шифрование: вместо этого вирус просто дописывает содержимое оригинального ELF-файла в конец инфицированного объекта.
