Skip to content

Malware multiplataforma. Un virus para Windows y Linux

Publicado por Sergio Hernando el 10 abril 2006

¿Un virus que afecta a Windows y a Linux indistintamente? Eso es imposible.

Pues no, no lo es. Según leemos en el diario de SANS, la gente de Kaspersky Lab está analizando un ejemplar que han recibido con capacidad de infectar no sólo a sistemas Windows, sino también a sistemas Linux. Según la codificación de Kaspersky, han nombrado al especimen como Virus.Linux.Bi.a/ Virus.Win32.Bi.a

El bicho está escrito en ensamblador, y tiene toda la pinta de ser una prueba de concepto para ver cómo funciona el asunto, escrita por algún programador de malware que le estará dando vueltas al asunto en estos mismos instantes. Este virus dual tiene capacidad de infectar a ficheros PE de Windows y ELF de Linux y su payload está, en primera instancia, limitado a infectar a los ficheros del directorio donde esté ubicada la muestra.

La protección de ficheros ELF de Linux se hace a través de llamadas del tipo INT 80, y consise en una inyección entre la cabecera ELF del fichero y la sección de texto “.text”, adulterando el punto de entrada del fichero original.

En plataformas Windows, el virus emplea la libería de núcleo Kernel32.dll para infectar el sistemas. Inyecta su código en la sección final y al igual que en Linux, se obtiene control de actividad mediante la adulteración del punto de entrada. En ambos casos, Windows y Linux, hay una firma de 2 bytes identificativa, 7DFBh, en la dirección 0Bh en el caso de ficheros ELF, y en la cabecera PE TimeDateStamp en el caso de Windows.

En ambos casos, los ficheros infectados contienen alguna de las siguientes cadenas de texto:

[CAPZLOQ TEKNIQ 1.0] (c) 2006 JPanic:
This is Sepultura signing off...
This is The Soul Manager saying goodbye...
Greetz to: Immortal Riot, #RuxCon!

El especimen que infecta contiene por el contrario alguna de estas cadenas:

[CAPZLOQ TEKNIQ 1.0] VIRUS DROPPER (c) 2006 JPanic
[CAPZLOQ TEKNIQ 1.0] VIRUS SUCCESFULLY EXECUTED!

Comentan los chavales de Kaspersky que en su opinión, la cual es de las más creíbles en estos campos, pese a la inocuidad de este especimen el riesgo está en que una vez el código del ejemplar esté accesible, será adaptado para infinitos usos dependientes del capricho de los miles de programadores de virus existentes en el planeta. En cualquiera de esas adaptaciones, el ejemplar podría tener efectos mucho más perniciosos.

En SANS comentan que el caso les recuerda al especimen híbrido para Solaris y Windows llamado sadmind/IIS, si bien este era un gusano y no un virus. Sadmind estaba enfocado a infectar al demonio sadmind de solaris y a servidores IIS de Microsoft.

Me da especial grima que el bicho esté programado en ensamblador: no es el lenguaje de referencia de los script-kiddies ni de los programadores noveles. La idea de adulterar los puntos de entrada tampoco es una idea al alcance de cualquiera. No quiero ni pensar de dónde puede provenir este código.

¿Se avecina una nueva hornada de malware?

Be Sociable, Share!

Categoría/s → Malware

6 comentarios
  1. 11 abril 2006
    Pablo permalink

    Este magnifico código no puede ser obra mas que de gente expertisima como la del grupo 29A, que por cierto, es español, aunque publique en inglés…
    Sin embargo, no son gente que publique su virus, simplemente comparte sus conocimientos…

  2. 11 abril 2006

    Yo tenía entendido que el uso de INT80 se considera obsoleto, y las nuevas glibc y núcleos de Linux (para i686 y superiores) utilizan sysenter/sysexit:

    http://www.ussg.iu.edu/hypermail/linux/kernel/0212.3/0624.html

  3. 20 abril 2006
    Omarsaurio permalink

    podrias hacer una revision o algun comentario acerca de este malware

    http://command.adservs.com/uninstall.php

    el cual alguna vez me infecte y parece que hasta la fecha es inborrable de manera tradicional con un antivirus (cualquiera!!), y la manera en que trabaja, enviando publicidad a la computadora infectada y sirviedno como zombie.

    Saludos!

  4. 20 abril 2006

    Omarsaurio,

    No tengo cajas de arena Windows disponibles, lo siento. Lo que sí te puedo decir es que ese ejecutable no parece contener malware:

    AntiVir 6.34.0.24 20.04.2006 no ha encontrado virus
    Avast 4.6.695.0 20.04.2006 no ha encontrado virus
    AVG 386 20.04.2006 no ha encontrado virus
    Avira 6.34.0.56 20.04.2006 no ha encontrado virus
    BitDefender 7.2 20.04.2006 no ha encontrado virus
    CAT-QuickHeal 8.00 19.04.2006 no ha encontrado virus
    ClamAV devel-20060202 20.04.2006 no ha encontrado virus
    DrWeb 4.33 20.04.2006 no ha encontrado virus
    eTrust-InoculateIT 23.71.134 19.04.2006 no ha encontrado virus
    eTrust-Vet 12.4.2169 20.04.2006 no ha encontrado virus
    Ewido 3.5 20.04.2006 no ha encontrado virus
    Fortinet 2.71.0.0 20.04.2006 no ha encontrado virus
    F-Prot 3.16c 19.04.2006 no ha encontrado virus
    Ikarus 0.2.59.0 20.04.2006 no ha encontrado virus
    Kaspersky 4.0.2.24 20.04.2006 no ha encontrado virus
    McAfee 4745 20.04.2006 no ha encontrado virus
    NOD32v2 1.1497 19.04.2006 no ha encontrado virus
    Norman 5.90.16 20.04.2006 no ha encontrado virus
    Panda 9.0.0.4 20.04.2006 no ha encontrado virus
    Sophos 4.04.0 20.04.2006 no ha encontrado virus
    Symantec 8.0 20.04.2006 no ha encontrado virus
    TheHacker 5.9.7.131 19.04.2006 no ha encontrado virus
    UNA 1.83 20.04.2006 no ha encontrado virus
    VBA32 3.10.5 19.04.2006 no ha encontrado virus

  5. 7 abril 2008
    manolo permalink

    amigo, un programador de virus q se respete,utilisa ensamblador para la creacion de estos bichos.

    el formato ELF no es un concimiento para los iluminados
    tiene su dificultad, pero nada fuera de este mundo.

    en realidad tal codigo es muy simple de hacer si conoses
    los principios basicos de infeccion en ambos sistemas.

    dificilmente es el trabajo de gente expertisima… 8)

  6. 5 septiembre 2008

    A que cabrones yo no se por que hay gente asi, que no tienen vida social???. A que chingaos se dedican???. Ya dejen trabajar a los que si trabajamos en algo productivo.

    Bueno a mi que!!!.Yo prefiero linux y si llegaran a hacer mas de estos virus mejor me compro una maquina de escribir!!!

    Espero que no se molesten!!!

    Es para que se relajen un poco y arriba el software libre!!!

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS