Frykter nye kryssplattform-virus

Kaspersky Lab har mottatt bevis for at virus for flere samtidige operativsystemer snart kan bli spredt.

Russiske Kaspersky Lab varsler i denne meldingen at selskapet har mottatt et testeksemplar av et nytt virus som vil infisere både Linux og Win32-systemer. Selskapet har derfor gitt det navnet Virus.Linux.Bi.a/ Virus.Win32.Bi.a.

Viruset er skrevet i assembler og er relativt enkelt. Det infiserer bare filer i den aktuelle mappen. Det som er interessant, mener selskapet, er at viruset er i stand til å infisere forskjellige filformater benyttet av Linux og Windows, henholdsvis ELF- og PE-formatene.

For å infisere ELF-filer, må viruset benytte INT 80 systemkall og injisere nyttelasten inn i filen umiddelbart etter ELF-filhodet og før ".text"-seksjonen. Dette endrer inngangspunkt til den originale filen.

Infiserte filer identifiseres ved hjelp av en signatur på to bytes, 7DFBh, ved 0Bh.

Viruset benytter Kernel32.dll-funksjonen til å infisere systemer basert på Win32. Det injiserer koden inn i den avsluttende seksjonen og oppnå kontroll ved også denne gang å endre inngangspunktet. Infiserte PE-filer inneholder den samme 2 byts signaturen som ELF-filer. Signaturen er plassert i PE TimeDateStamp-hodet.

Selv om viruset ikke har noe praktisk formål, men kun er et konseptbevis, skrevet for å vise å vise at det er mulig å lage et kryssplattformvirus, mener Kaspersky Lab at virusforfattere er raske med å ta i bruk slik konseptkode i sine egne varianter av ondsinnet kode.

Internet Storm Center ved SANS støtter dette og mener at kryssplattform virus og andre varianter av ondsinnet kode er noe som man vil se mer av i framtiden.

Til toppen