Обработка аргументов командной строки
Вирус мог запускаться с аргументом "-p NNN" , где NNN - десятичное число, которое является идентификатором породившего процесса. Впоследствии вирус использовал это число для удаления данного процесса с целью "заметания следов" .
Остальные аргументы командной строки являлись именами файлов, которые он пытался загрузить. Если не удавалось загрузить хотя бы один из них, вирус заканчивал работу. Если был задан аргумент "-p NNN" , то он так же стирал файлы и потом пытался уничтожить свой образ на диске.
Затем вирус предпринимал следующие действия (причем, если какие-то из них терпели неудачу, он завершался):
- проверял, что был задан хотя бы один файл в командной строке;
- проверял, был ли успешно загружен файл ll.c.
Если была задана опция "-p" , программа закрывала все файлы, открытые породившим процессом.
Затем стирался массив аргументов для маскировки способа запуска вируса.
Вирус сканировал все сетевые интерфейсы, получал статус и адреса каждого интерфейса.
Вирус уничтожал процесс, заданный опцией "-p NNN" и перед этим менял группу (GID) текущего процесса, чтобы не погибнуть вместе с ним.
Если все эти действия заканчивались удачно, далее он выполнял процедуру doit, которая совершала остальную работу.
