"Лаборатория Касперского" сообщает об обнаружении первых сэмплов нового кроссплатформенного вируса. Вирус получил двойное название Virus.Linux.Bi.a / Virus.Win32.Bi.a. Bi - это очередная попытка создать вирус, работающий сразу на нескольких платформах — он способен работать как под Win32, так и под Linux. Вирус написан на асcемблере и достаточно прост: заражает файлы только в текущем каталоге и интересен, в основном, благодаря своей кроссплатформенности. Так как Linux и Windows имеют разные форматы исполняемых файлов (ELF и PE соответственно), то код вируса содержит функции заражения файлов обоих типов. Под Linux вирус использует системные вызовы через INT 80 и внедряет свое тело после ELF-заголовка файла перед секцией «.text», изменяя точку входа оригинального файла. Зараженные файлы помечаются в заголовке файла по смещению 0Bh двухбайтовой сигнатурой 7DFBh. Под Win32 вирус использует функции Kernel32.dll. В PE-файлы вирус внедряется путем добавления тела в последнюю секцию. Управление вирусу передается также путем изменения точки входа. Зараженные файлы помечаются той же сигнатурой, но используют для этого поле PE-загловка «TimeDateStamp». Какого-либо практического применения этот вирус не имеет, поскольку является типичным представителем Proof-of-Concept — концептуальных вредоносных программ, призванных продемонстрировать саму возможность своего существования.
Подробности