¿Un virus que afecta a Windows y a Linux indistintamente? Eso es imposible.
Pues no, no lo es. Según leemos en el diario de SANS, la gente de Kaspersky Lab está analizando un ejemplar que han recibido con capacidad de infectar no sólo a sistemas Windows, sino también a sistemas Linux. Según la codificación de Kaspersky, han nombrado al especimen como Virus.Linux.Bi.a/ Virus.Win32.Bi.a
El bicho está escrito en ensamblador, y tiene toda la pinta de ser una prueba de concepto para ver cómo funciona el asunto, escrita por algún programador de malware que le estará dando vueltas al asunto en estos mismos instantes. Este virus dual tiene capacidad de infectar a ficheros PE de Windows y ELF de Linux y su payload está, en primera instancia, limitado a infectar a los ficheros del directorio donde esté ubicada la muestra.
La protección de ficheros ELF de Linux se hace a través de llamadas del tipo INT 80, y consise en una inyección entre la cabecera ELF del fichero y la sección de texto “.text”, adulterando el punto de entrada del fichero original.
En plataformas Windows, el virus emplea la libería de núcleo Kernel32.dll para infectar el sistemas. Inyecta su código en la sección final y al igual que en Linux, se obtiene control de actividad mediante la adulteración del punto de entrada. En ambos casos, Windows y Linux, hay una firma de 2 bytes identificativa, 7DFBh, en la dirección 0Bh en el caso de ficheros ELF, y en la cabecera PE TimeDateStamp en el caso de Windows.
En ambos casos, los ficheros infectados contienen alguna de las siguientes cadenas de texto:
[CAPZLOQ TEKNIQ 1.0] (c) 2006 JPanic:
This is Sepultura signing off…
This is The Soul Manager saying goodbye…
Greetz to: Immortal Riot, #RuxCon!
El especimen que infecta contiene por el contrario alguna de estas cadenas:
[CAPZLOQ TEKNIQ 1.0] VIRUS DROPPER (c) 2006 JPanic
[CAPZLOQ TEKNIQ 1.0] VIRUS SUCCESFULLY EXECUTED!
Comentan los chavales de Kaspersky que en su opinión, la cual es de las más creíbles en estos campos, pese a la inocuidad de este especimen el riesgo está en que una vez el código del ejemplar esté accesible, será adaptado para infinitos usos dependientes del capricho de los miles de programadores de virus existentes en el planeta. En cualquiera de esas adaptaciones, el ejemplar podría tener efectos mucho más perniciosos.
En SANS comentan que el caso les recuerda al especimen híbrido para Solaris y Windows llamado sadmind/IIS, si bien este era un gusano y no un virus. Sadmind estaba enfocado a infectar al demonio sadmind de solaris y a servidores IIS de Microsoft.
Me da especial grima que el bicho esté programado en ensamblador: no es el lenguaje de referencia de los script-kiddies ni de los programadores noveles. La idea de adulterar los puntos de entrada tampoco es una idea al alcance de cualquiera. No quiero ni pensar de dónde puede provenir este código.
¿Se avecina una nueva hornada de malware?
Este magnifico código no puede ser obra mas que de gente expertisima como la del grupo 29A, que por cierto, es español, aunque publique en inglés…
Sin embargo, no son gente que publique su virus, simplemente comparte sus conocimientos…
Yo tenía entendido que el uso de INT80 se considera obsoleto, y las nuevas glibc y núcleos de Linux (para i686 y superiores) utilizan sysenter/sysexit:
http://www.ussg.iu.edu/hypermail/linux/kernel/0212.3/0624.html
podrias hacer una revision o algun comentario acerca de este malware
http://command.adservs.com/uninstall.php
el cual alguna vez me infecte y parece que hasta la fecha es inborrable de manera tradicional con un antivirus (cualquiera!!), y la manera en que trabaja, enviando publicidad a la computadora infectada y sirviedno como zombie.
Saludos!
Omarsaurio,
No tengo cajas de arena Windows disponibles, lo siento. Lo que sí te puedo decir es que ese ejecutable no parece contener malware:
AntiVir 6.34.0.24 20.04.2006 no ha encontrado virus
Avast 4.6.695.0 20.04.2006 no ha encontrado virus
AVG 386 20.04.2006 no ha encontrado virus
Avira 6.34.0.56 20.04.2006 no ha encontrado virus
BitDefender 7.2 20.04.2006 no ha encontrado virus
CAT-QuickHeal 8.00 19.04.2006 no ha encontrado virus
ClamAV devel-20060202 20.04.2006 no ha encontrado virus
DrWeb 4.33 20.04.2006 no ha encontrado virus
eTrust-InoculateIT 23.71.134 19.04.2006 no ha encontrado virus
eTrust-Vet 12.4.2169 20.04.2006 no ha encontrado virus
Ewido 3.5 20.04.2006 no ha encontrado virus
Fortinet 2.71.0.0 20.04.2006 no ha encontrado virus
F-Prot 3.16c 19.04.2006 no ha encontrado virus
Ikarus 0.2.59.0 20.04.2006 no ha encontrado virus
Kaspersky 4.0.2.24 20.04.2006 no ha encontrado virus
McAfee 4745 20.04.2006 no ha encontrado virus
NOD32v2 1.1497 19.04.2006 no ha encontrado virus
Norman 5.90.16 20.04.2006 no ha encontrado virus
Panda 9.0.0.4 20.04.2006 no ha encontrado virus
Sophos 4.04.0 20.04.2006 no ha encontrado virus
Symantec 8.0 20.04.2006 no ha encontrado virus
TheHacker 5.9.7.131 19.04.2006 no ha encontrado virus
UNA 1.83 20.04.2006 no ha encontrado virus
VBA32 3.10.5 19.04.2006 no ha encontrado virus
amigo, un programador de virus q se respete,utilisa ensamblador para la creacion de estos bichos.
el formato ELF no es un concimiento para los iluminados
tiene su dificultad, pero nada fuera de este mundo.
en realidad tal codigo es muy simple de hacer si conoses
los principios basicos de infeccion en ambos sistemas.
dificilmente es el trabajo de gente expertisima… 8)
A que cabrones yo no se por que hay gente asi, que no tienen vida social???. A que chingaos se dedican???. Ya dejen trabajar a los que si trabajamos en algo productivo.
Bueno a mi que!!!.Yo prefiero linux y si llegaran a hacer mas de estos virus mejor me compro una maquina de escribir!!!
Espero que no se molesten!!!
Es para que se relajen un poco y arriba el software libre!!!