Neuer Virus bedroht gleichzeitig Windows- und Linux-Welt

Entdeckt wurde Virus.Linux.Bi.a / Virus.Win32.Bi.a, kurz Bi, von den Analytikern der Antivirenfirma Kaspersky. Der Virus ist mit Assembler geschrieben und ziemlich einfach gestrickt: er infiziert nur Dateien im aktuellen Verzeichnis. Eine praktische Anwendung findet der Virus laut Kaspersky noch nicht, er gilt als typisches Proof-of-Concept.

Interessant ist allerdings die Crossplattform-Fähigkeit. Bi enthält Funktionen, um sowohl unter Linux als auch unter Windows Dateien mit ausführbaren Formaten (ELF und EXE) zu infizieren.

Unter Linux verwendet der Virus die System-Anfragen über INT 80 und schleust seinen Körper hinter den ELF-Header der Datei ein vor den Bereich «.text», indem er den Eingangspunkt der Originaldatei verändert. Infizierte Dateien werden im Datei-Header an der Stelle 0Bh mit einer zweibyte-Signatur 7DFBh gekennzeichnet.

Unter Win32 verwendet der Virus die Funktionen Kernel32.dll. In die EXE-Dateien wird die Viren-Datei über Ergänzung des Bodys in die letzte Sektion eingeschleust. Infizierte Dateien werden mit derselben Signatur gekennzeichnet, verwenden dafür aber das Feld „TimeDateStamp“ des Headers. Die meisten Anti-Viren-Hersteller haben die Signaturen ihrer Produkte bereits um das neue Proof-of-Concept ergänzt. (mja)