Спецпроекты

Новый вирус заражает Linux и Windows

Безопасность
Эксперты "Лаборатории Касперского" обнаружили новый кроссплатформенный вирус, который получил двойное название Virus.Linux.Bi.a/Virus.Win32.Bi.a.

Bi - это очередная попытка создать вирус, работающий сразу на нескольких платформах — как под Win32, так и под Linux. Вирус написан на асcемблере и достаточно прост: заражает файлы только в текущем каталоге и интересен, в основном, благодаря своей кроссплатформенности.

Так как Linux и Windows имеют разные форматы исполняемых файлов (ELF и PE соответственно), то код вируса содержит функции заражения файлов обоих типов. Под Linux вирус использует системные вызовы через INT 80 и внедряет свое тело после ELF-заголовка файла перед секцией «.text», изменяя точку входа оригинального файла. Зараженные файлы помечаются в заголовке файла по смещению 0Bh двухбайтовой сигнатурой 7DFBh.

Под Win32 вирус использует функции Kernel32.dll. В PE-файлы вирус внедряется путем добавления тела в последнюю секцию. Управление вирусу передается также путем изменения точки входа. Зараженные файлы помечаются той же сигнатурой, но используют для этого поле PE-загловка «TimeDateStamp».

Зараженные файлы содержат строки: "[CAPZLOQ TEKNIQ 1.0] (c) 2006 JPanic: This is Sepultura signing off... This is The Soul Manager saying goodbye... Greetz to: Immortal Riot, #RuxCon!". Кроме того, сам инфектор содержит строки: "[CAPZLOQ TEKNIQ 1.0] VIRUS DROPPER (c) 2006 JPanic [CAPZLOQ TEKNIQ 1.0] VIRUS SUCCESFULLY EXECUTED!".

Какого-либо практического применения этот вирус не имеет, поскольку является типичным представителем концептуальных вредоносных программ, призванных продемонстрировать саму возможность своего существования.



Профиль месяца

Банки должны переходить на односкоростную архитектуру

Дмитрий Гарбар

управляющий директор компании «Новая Афина»

Тема месяца

Почему программные роботы стали вдруг так популярны?

В связке с ИИ они способны выполнять контрольные и управленческие функции.