Proof of concept cross platform virus ontdekt

  • Bron (c) 2006, VirusAlert

Op het weblog van Kaspersky is te lezen dat er een virus is gesignaleerd dat in staat is zowel onder Windows als onder Linux zijn werk te doen. Dit cross-platform virus is daarom Virus.Linux.Bi.a en Virus.Win32.Bi.a gedoopt. Het virus is geschreven in assembly en doet eigenlijk vrij weinig: het besmet alleen bestanden in de huidige werkdirectory. Om Linux’ ELF-bestanden te besmetten, wordt gebruikgemaakt van INT 80-systemcalls om zichzelf na de ELF-header en voor de .text-sectie van het bestand in te voegen. Het virus maakt onder Windows gebruik van functies uit kernel32.dll om zichzelf aan PE-bestanden vast te plakken. Op dit moment is de code vooral een proof-of-concept en voegt het slechts een stukje tekst aan het bestand toe; voorbeelden zijn te vinden op het weblog. Echter, als PoC-code is verschenen, duurt het meestal niet lang meer voordat echte virussen verschijnen, aldus de Kaspersky-medewerkers. Het is niet voor het eerst dat een cross-platform virus opduikt. Onder meer in 2001 dook bijvoorbeeld al Winux op.