Szerző: roberto

2001. március 28. 18:15

A Win32/Linux.Winux az első többplatformos vírus x86-os gépekre

Technológiai újdonságnak számító multiplatformos vírust találtak

HIRDETÉS

Technológiai újdonságnak számító multiplatformos vírust találtak az egyesült államokbeli Central Command nevű, vírusirtókat is készítő cég szakemberei egy Csehországból érkező emailhez csatolva tegnap délután. A vírus assembly-ben íródott, Pentium processzorokra. Az első beszámolók szerint nem rezidens és nem is destruktív a jószág, mégis figyelemreméltó, hiszen több operációs rendszer futtatható állományiba (Win32-es platformok: Win95/98/Me/NT/2000 PE és a Linux ELF) képes bemásolni magát.

A Win32/Linux.Winux nevű vírus szöveges információkat is tartalmaz, utal szerzőre, ugyanis egy "Benny/29A" string szerepel benne. Benny és a 29A a Central Command szerint több, nem különösebben veszélyes, ám technikai újdonságokat hordozó vírus szerzője. A kód, afféle paródiaként, tartalmazza az alábbi, GNU szoftvereket (pl. Linuxot) használók számára rendkívül ismerős szöveget is: This GNU program is covered by GPL, tehát ez egy GNU program, amelyre a GPL (General Public Licence) vonatkozik, magyarul: módosítható, továbbírható és továbbadható, szerzői jogdíjaktól mentes szabad program, élvezzük, használjuk, garancia nincs rá, a forráskódot pedig mellékelnünk kell :)

A Winux nem terjed "magától". Valahogy meg kell kapnia a vezérlést (ha levélben kaptuk, akkor a csatolt fájl ikonjára való kattintáskor, vagy egyéb módon futtatva), ekkor futtatható állományokat fog keresni, ha talál Win32 vagy Linux ELF binárist, akkor azokat megfertőzi, de nem továbbítja magát automatikusan emailekben.

A Win32-es fájlok megfertőzése során a Win32 API függvényeit használja: FindFirstFileA, FindNextFileA, FindClose, CreateFileA, CreateFileMappingA, MapViewOfFile, UnmapViewOfFile, CloseHandle, VirtualAlloc, VirtualFree, WriteFile, SetFilePointer, GetCurrentDirectoryA, SetCurrentDirectoryA. Az ELF fájlok esetén a bináris elején módosítja a kódot, és a fájl végéhez fűzi magát; futtatáskor először a vírus kódja fut le (további fertőzhető állományokat keres), majd visszaadja a vezérlést a gazdafájlnak. A Win32/Linux.Winux eddig ismeretlen volt, az első bejelentés a Central Command nevéhez fűződik, tőlük már egy kereső is letölthető, amivel megvizsgálhatjuk rendszerünket.

A terjedési metóduson túl sajnos nem mennek a vírusról szóló hírek, pedig gondolom többen is kíváncsiak lennének a részletekre... Valószínűnek tartom, hogy a levélben terjedő változat (amit a Central Command is kapott) egy Win32-es program, amely Linux alatt nem életképes, de meg tudja fertőzni a Windows partícióján lévő ELF fájlokat, a fertőzött ELF binárisok pedig már tudják terjeszteni Linux alatt is (?) a Winuxot. Még egyszer: ez pusztán spekuláció, így, ebben a formában sehol nem szerepel, várjuk a további, kielégítően részletes híreket a vírusról.

Hírforrások:

a címlapról