Neues von den Virenschreibern

Heute entdeckten wir die ersten Exemplare eines neuen Virus. Der Virus erhielt den Doppelnamen Virus.Linux.Bi.a / Virus.Win32.Bi.a.

„Bi“ ist der erneute Versuch der Erstellung eines Virus, der gleichzeitig auf mehreren Plattformen funktionieren kann. Er ist fähig, sowohl unter Windows als auch unter Linux seine schädlichen Funktionen auszuführen.

Der Virus ist mit Assembler geschrieben und ziemlich einfach: er infiziert nur Datein im aktuellen Verzeichnis und ist besonders aufgrund seiner Crossplattform-Fähigkeit interessant.

Da auszuführende Dateien unter Linux und Windows unterschiedliche Formate haben (ELF und PE), enthält der Virus entsprechende Funktionen für beide Typen.

Unter Linux verwendet der Virus die System-Anfragen über INT 80 und schleust seinen Körper hinter den ELF-Header der Datei ein vor den Bereich «.text», indem er den Eingangspunkt der Originaldatei verändert.

Infizierte Dateien werden im Datei-Header an der Stelle 0Bh mit einer zweibyte-Signatur 7DFBh gekennzeichnet.

Unter Win32 verwendet der Virus die Funktionen Kernel32.dll.

In die PE-Dateien wird die Viren-Datei über Ergänzung des Bodys in die letzte Sektion eingeschleust. Auch hier erhält der Virus die Steuerung durch Änderung des Eingangspunktes. Infizierte Dateien werden mit derselben Signatur gekennzeichnet, verwenden dafür aber das Feld «TimeDateStamp» des PE-Headers.

Die infizierten Dateien enthalten die Zeilen:

[CAPZLOQ TEKNIQ 1.0] (c) 2006 JPanic:

This is Sepultura signing off…

This is The Soul Manager saying goodbye…

Greetz to: Immortal Riot, #RuxCon!

Darüber hinaus enthält der Infektor selbst die Zeilen:

[CAPZLOQ TEKNIQ 1.0] VIRUS DROPPER (c) 2006 JPanic

[CAPZLOQ TEKNIQ 1.0] VIRUS SUCCESFULLY EXECUTED!

Ein praktische Anwendung findet der Virus nicht, da er ein typischer Proof-of-Concept Vertreter ist. Das sind konzeptionelle Schadprogramme, die einfach nur die Möglichkeit ihrer Existenz demonstrieren.

Virus.Linux.Bi.a / Virus.Win32.Bi.a wurde bereits in die Antivirus-Datenbanken von Kaspersky Lab ergänzt.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.