Alias: Linux.Cheese.Worm, ELF_Cheese.A, Linux/Cheese, PERL_CHEESE.A, CHEESE.A.

Cheese es un gusano de Linux descubierto en Mayo de 2001 cuyo objetivo es buscar equipos en subredes Class B que hayan sido infectados previamente por el gusano Lion para proceder a su eliminación.

Consta de un archivo ejecutable binario con formato ELF denominado "PSM", un script PERL "CHEESE" y un shell script "GO" cuya función es eliminar los backdoors instalados en los sistemas infectados por Lion.

El gusano genera una dirección IP aleatoria desde 193.1.x.x a 218.254.x.x y utiliza el ejecutable PSM para escanear el puerto TCP 10008 en la dirección IP elegida. Si encuentra un equipo vulnerable copia el gusano transfiriendo el archivo CHEESE.UUE que decodificará y descomprimirá para poder ejecutar el gusano sobre el sistema remoto ejecutando el script GO.

En el equipo infectado, Cheese se copia en el directorio temporal /tmp/.cheese. Cuando se ejecuta este gusano, eliminará de "etc/inetd.conf" todas las líneas que contengan la cadena "/bin/sh" (líneas añadidas por Lion a modo de backdoor) y posteriormente, reiniciará el servicio inetd para evitar accesos remotos a éstos equipos.

Una vez eliminado Lion del sistema, continuará la búsqueda de otras víctimas a las que poder "salvar".