Entdeckt wurde Virus.Linux.Bi.a / Virus.Win32.Bi.a, kurz Bi, von den Analytikern der Antivirenfirma Kaspersky. Der Virus ist mit Assembler geschrieben und ziemlich einfach gestrickt: er infiziert nur Dateien im aktuellen Verzeichnis. Eine praktische Anwendung findet der Virus laut Kaspersky noch nicht, er gilt als typisches Proof-of-Concept.
Interessant ist allerdings die Crossplattform-Fähigkeit. Bi enthält Funktionen, um sowohl unter Linux als auch unter Windows Dateien mit ausführbaren Formaten (ELF und EXE) zu infizieren.
Unter Linux verwendet der Virus die System-Anfragen über INT 80 und schleust seinen Körper hinter den ELF-Header der Datei ein vor den Bereich «.text», indem er den Eingangspunkt der Originaldatei verändert. Infizierte Dateien werden im Datei-Header an der Stelle 0Bh mit einer zweibyte-Signatur 7DFBh gekennzeichnet.
Unter Win32 verwendet der Virus die Funktionen Kernel32.dll. In die EXE-Dateien wird die Viren-Datei über Ergänzung des Bodys in die letzte Sektion eingeschleust. Infizierte Dateien werden mit derselben Signatur gekennzeichnet, verwenden dafür aber das Feld „TimeDateStamp“ des Headers. Die meisten Anti-Viren-Hersteller haben die Signaturen ihrer Produkte bereits um das neue Proof-of-Concept ergänzt. (mja)
Links zum Thema IT-Sicherheit |
Angebot |
---|---|
Bookshop |
|
eBooks (50 % Preisvorteil) |
|
Software-Shop |