一个跨平台病毒的最新原形

zhaoke

一个跨平台病毒的最新原形

发表者: 赵珂 2006年04月09日 #128

http://blog.joylinux.org/zhaoke/cn/128.html


原文: Crossplatform virus - the latest proof of concept

最近我们(卡巴斯基实验室)收到了一个新的实例: 另一个跨平台病毒. 该病毒试图创建危险代码来感染linux和win32平台. 因此我们给它取名为: Virus.Linux.Bi.a/ Virus.Win32.Bi.a

病毒是由汇编语言编写, 相对其它病毒而言功能比较简单: 它仅感染当前目录下的文件. 然而令人感兴趣的是它能感染linux和win32上不同的文件格式, 比如: ELF和PE格式.

为了感染ELF文件, 病毒使用80号系统中断调用直接植入代码到ELF文件头后和数据部分(.text)之前的区域. 这样改变了原来文件的入口点.

受感染的文件被确认有两个字节的标签, 7DFBh, at 0Bh.

病毒使用kernel32.dll动态连结库中的函数来感染正在运行的Win32系统. 它把代码植入到文件的最末端, 然后再通过改变入口点来获得控制权. 受感染的PE文件包含了与linux上ELF文件相同的两个字节标签; 该标签位于PE文件时间日期戳(TimeDateStamp)的头部.

受感染的文件包含了下面的数据字符串:
[CAPZLOQ TEKNIQ 1.0] (c) 2006 JPanic:
This is Sepultura signing off…

This is The Soul Manager saying goodbye…

Greetz to: Immortal Riot, #RuxCon!

病毒传播者自身包含了下面的字符串:
[CAPZLOQ TEKNIQ 1.0] VIRUS DROPPER (c) 2006 JPanic
[CAPZLOQ TEKNIQ 1.0] VIRUS SUCCESFULLY EXECUTED!

暂时该病毒还没有任何实例代码: 经典的原形代码, 由此很有可能创建一个跨平台病毒.

然而, 我们的经验显示一旦病毒原形代码公布出来, 病毒程序员通常会很快利用该代码写出新的病毒程序.

我们收到该病毒后, 已经添加检测Virus.Linux.Bi.a/ Virus.Win32.Bi.a病毒代码到卡巴斯基防病毒数据库中.