@跨平台的病毒
卡巴斯基實驗室接收到一個新的樣本: 由一專業概念程式碼開發團體 29A 所開發的樣本. 這個樣本是目前最新能夠跨平台感染 Linux 以及Win32 系統的惡意程式碼。也因此將這程式碼作了兩個名稱定義: Virus.Linux.Bi.a/ Virus.Win32.Bi.a
這個病毒是利用組合語言所撰寫而且相當的簡單:它僅感染在現有目錄中的檔案。然而,令人關注的是它能夠感染不同的作業系統檔案格式 - 分別為 ELF 和 PE 檔案格式.
為了感染 ELF 檔案,這個病毒採用 INT 80 system calls 並且在 ELF 檔案表頭和前頭的 “.text” 區塊迅速的感染其檔案主體. 這將改變原始檔案的 entry point .
受感染的檔案可以用雙位元的特徵來定義, 7DFBh, at 0Bh.
這個病毒利用 Kernel32.dll 的功能來感染運行 Win32 的系統. 它感染了其中最後的區段, 並且取得改變 entrypoint 的控制權。 受感染的 PE 檔案包含了與 ELF 一樣的雙位元特徵; 這個特徵將會被放在 PE TimeDateStamp的表頭中.
受感染的檔案含有以下的文字字串:
[CAPZLOQ TEKNIQ 1.0] (c) 2006 JPanic:
This is Sepultura signing off...
This is The Soul Manager saying goodbye...
Greetz to: Immortal Riot, #RuxCon!
The infector itself contains the following strings:
[CAPZLOQ TEKNIQ 1.0] VIRUS DROPPER (c) 2006 JPanic
[CAPZLOQ TEKNIQ 1.0] VIRUS SUCCESFULLY EXECUTED!
這個病毒目前還未被利用 - 它可以說是一個概念式的程式碼,目的是為了呈現病毒可同時感染不同作業系統平台的可能性.
然而,依照卡巴斯基實驗室病毒專家 Kostya 表示,一但這樣的概念性的程式碼提出之後,病毒撰寫者很快的就可以將這樣的程式碼附加到其原有的病毒程式碼中了。
卡巴斯基的防毒資料庫目前已經可以偵測 Virus.Linux.Bi.a/ Virus.Win32.Bi.a 。
|