Il blog di Kaspersky Lab segnala di aver ricevuto un proof-of-concept piuttosto interessante : Virus.Linux.Bi.a/ Virus.Win32.Bi.a. Si tratta di un virus particolare in grado di infettare sia sistemi Gnu/Linux che Windows. Un vero e proprio malware multipiattaforma che si adatta all’architettura da attaccare. Scritto in assembler Virus.Linux.Bi.a/ Virus.Win32.Bi.a infetta sia file ELF (Linux) che PE (Windows) residenti nella directory corrente in cui il malware venga eseguito. Ecco come viene descritto tecnicamente il comportamento del virus:
“To infect ELF files, the virus uses INT 80 system calls and injects its body into the file immediately after the ELF file header and before the “.text” section.
This changes the entry point of the original file.
Infected files are identified with a 2-byte signature, 7DFBh, at 0Bh.
The virus uses the Kernel32.dll function to infect systems running Win32. It injects its code to the final section,and gains control by again changing the entry point.
Infected PE files contain the same 2-byte signature as ELF files; the signature is placed in the PE TimeDateStamp header”.
Dico subito che il virus è abbastanza innocuo e si limita a scrivere qualche riga negli eseguibili infetti ma ha subito attirato l’attenzione degli esperti per la pericolosità potenziale di un codice di questo tipo. L’Internet Storm Center con tono molto sarcastico ha invitato chi ritiene che la propria Linux box sia invulnerabile a valutare l’imminente pericolo di virus multipiattaforma e a cautelarsi con l’utilizzo di un buon antivirus.
Secondo il mio modesto parere è puro allarmismo, un virus che lavora soltanto sugli eseguibili trovati nella current working directory non dovrebbe impensierire nessun utente Linux soprattutto se loggato sul sistema con privilegi da “utente”. Nonostante questo la prudenza non è mai troppa e non bisogna estendere il click facile anche sul pinguino pensando di essere in un bunker impenetrabile.
Post correlati:
Se ti è piaciuto questo articolo condividilo!
