¿Un virus que afecta a Windows y a Linux indistintamente? Eso es imposible.

Pues no, no lo es. Según leemos en el diario de SANS, la gente de Kaspersky Lab está analizando un ejemplar que han recibido con capacidad de infectar no sólo a sistemas Windows, sino también a sistemas Linux. Según la codificación de Kaspersky, han nombrado al especimen como Virus.Linux.Bi.a/ Virus.Win32.Bi.a

El bicho está escrito en ensamblador, y tiene toda la pinta de ser una prueba de concepto para ver cómo funciona el asunto, escrita por algún programador de malware que le estará dando vueltas al asunto en estos mismos instantes. Este virus dual tiene capacidad de infectar a ficheros PE de Windows y ELF de Linux y su payload está, en primera instancia, limitado a infectar a los ficheros del directorio donde esté ubicada la muestra.

La protección de ficheros ELF de Linux se hace a través de llamadas del tipo INT 80, y consise en una inyección entre la cabecera ELF del fichero y la sección de texto “.text”, adulterando el punto de entrada del fichero original.

En plataformas Windows, el virus emplea la libería de núcleo Kernel32.dll para infectar el sistemas. Inyecta su código en la sección final y al igual que en Linux, se obtiene control de actividad mediante la adulteración del punto de entrada. En ambos casos, Windows y Linux, hay una firma de 2 bytes identificativa, 7DFBh, en la dirección 0Bh en el caso de ficheros ELF, y en la cabecera PE TimeDateStamp en el caso de Windows.

En ambos casos, los ficheros infectados contienen alguna de las siguientes cadenas de texto:

[CAPZLOQ TEKNIQ 1.0] (c) 2006 JPanic:
This is Sepultura signing off...
This is The Soul Manager saying goodbye...
Greetz to: Immortal Riot, #RuxCon!

El especimen que infecta contiene por el contrario alguna de estas cadenas:

[CAPZLOQ TEKNIQ 1.0] VIRUS DROPPER (c) 2006 JPanic
[CAPZLOQ TEKNIQ 1.0] VIRUS SUCCESFULLY EXECUTED!

Comentan los chavales de Kaspersky que en su opinión, la cual es de las más creíbles en estos campos, pese a la inocuidad de este especimen el riesgo está en que una vez el código del ejemplar esté accesible, será adaptado para infinitos usos dependientes del capricho de los miles de programadores de virus existentes en el planeta. En cualquiera de esas adaptaciones, el ejemplar podría tener efectos mucho más perniciosos.

En SANS comentan que el caso les recuerda al especimen híbrido para Solaris y Windows llamado sadmind/IIS, si bien este era un gusano y no un virus. Sadmind estaba enfocado a infectar al demonio sadmind de solaris y a servidores IIS de Microsoft.

Me da especial grima que el bicho esté programado en ensamblador: no es el lenguaje de referencia de los script-kiddies ni de los programadores noveles. La idea de adulterar los puntos de entrada tampoco es una idea al alcance de cualquiera. No quiero ni pensar de dónde puede provenir este código.

¿Se avecina una nueva hornada de malware?

Technorati:

Tags: , , , , ,



Relacionados:
Grisoft publica versión beta de su suite de seguridad AVG Internet Security 7.5
Virus y móviles. Reseña en Expansión
Los 10 puntos de ejecución más comunes del malware en el registro de Microsoft Windows