Вирус bi поражает windows и linux

Вирус bi поражает windows и linux

Эксперты Лаборатории Касперского обнаружили новый вирус, поражающий компьютеры и на Windows, и на Linux. Пока подобные коды не несут деструктивного функционала.

Кроссплатформенный вирус получил двойное название Virus.Linux.Bi.a/Virus.Win32.Bi.a. Это очередная попытка создать вирус, работающий сразу на нескольких платформах — как под Win32, так и под Linux.

Код написан на Assembler и достаточно прост: заражает файлы только в текущем каталоге.

О тенденции бурного развития кроссплатформенных вирусов в ближайшем будущем говорить нельзя, — сообщили CNews в Лаборатории Касперского. — Это всего лишь второй кроссплатформенный вирус в этом году (первым был пресловутый Cxover для PC/мобильных устройств). Все они создаются в настоящее время исключительно с демонстрационной целью.

Нам очевидно, что классические файловые вирусы умерли, в них нет ничего, что может заинтересовать киберпреступников. Например, кроссплатформенных троянцев мы еще не встречали.

Сейчас, на наш взгляд, андеграунду не нужны кроссплатформенные вещи, им хватает и еще надолго хватит сотен миллионов пользователей Windows.

Так как Linux и Windows имеют разные форматы исполняемых файлов (ELF и PE соответственно), то код вируса содержит функции заражения файлов обоих типов. Под Linux вирус использует системные вызовы через INT 80 и внедряет свое тело после ELF-заголовка файла перед секцией «.text», изменяя точку входа оригинального файла.

Type


Зараженные файлы помечаются в заголовке файла по смещению 0Bh двухбайтовой сигнатурой 7DFBh.

На Win32 вирус использует функции Kernel32.dll. В PE-файлы вирус внедряется путем добавления тела в последнюю секцию. Управление вирусу передается также путем изменения точки входа.

Зараженные файлы помечаются той же сигнатурой, но используют для этого поле PE-загловка «TimeDateStamp».

Зараженные файлы содержат строки: [CAPZLOQ TEKNIQ 1.0] (c) 2006 JPanic: This is Sepultura signing off… This is The Soul Manager saying goodbye…

Greetz to: Immortal Riot, #RuxCon!. Кроме того, сам инфектор содержит строки: [CAPZLOQ TEKNIQ 1.0] VIRUS DROPPER (c) 2006 JPanic [CAPZLOQ TEKNIQ 1.0] VIRUS SUCCESFULLY EXECUTED!.

Новый вирус интересен, главным образом, благодаря своей кроссплатформенности. Какого-либо практического применения он не имеет и деструктивного функционала в данный момент в себе не несет, поскольку является типичным представителем концептуальных вредоносных программ, призванных продемонстрировать саму возможность своего существования.

Bi — коллекционный вирус, он был прислан в Лабораторию Касперского автором через третью сторону. В дикой природе новый код не встречается, и ни в каких странах пока не обнаружен.

Источник — Cnews

Похожие статьи:

Читайте также: