A Win32/Linux.Winux az első többplatformos vírus x86-os gépekre

Technológiai újdonságnak számító multiplatformos vírust találtak az egyesült államokbeli Central Command nevű, vírusirtókat is készítő cég szakemberei egy Csehországból érkező emailhez csatolva tegnap délután. A vírus assembly-ben íródott, Pentium processzorokra. Az első beszámolók szerint nem rezidens és nem is destruktív a jószág, mégis figyelemreméltó, hiszen több operációs rendszer futtatható állományiba (Win32-es platformok: Win95/98/Me/NT/2000 PE és a Linux ELF) képes bemásolni magát.

A Win32/Linux.Winux nevű vírus szöveges információkat is tartalmaz, utal szerzőre, ugyanis egy "Benny/29A" string szerepel benne. Benny és a 29A a Central Command szerint több, nem különösebben veszélyes, ám technikai újdonságokat hordozó vírus szerzője. A kód, afféle paródiaként, tartalmazza az alábbi, GNU szoftvereket (pl. Linuxot) használók számára rendkívül ismerős szöveget is: This GNU program is covered by GPL, tehát ez egy GNU program, amelyre a GPL (General Public Licence) vonatkozik, magyarul: módosítható, továbbírható és továbbadható, szerzői jogdíjaktól mentes szabad program, élvezzük, használjuk, garancia nincs rá, a forráskódot pedig mellékelnünk kell :)

A Winux nem terjed "magától". Valahogy meg kell kapnia a vezérlést (ha levélben kaptuk, akkor a csatolt fájl ikonjára való kattintáskor, vagy egyéb módon futtatva), ekkor futtatható állományokat fog keresni, ha talál Win32 vagy Linux ELF binárist, akkor azokat megfertőzi, de nem továbbítja magát automatikusan emailekben.

A Win32-es fájlok megfertőzése során a Win32 API függvényeit használja: FindFirstFileA, FindNextFileA, FindClose, CreateFileA, CreateFileMappingA, MapViewOfFile, UnmapViewOfFile, CloseHandle, VirtualAlloc, VirtualFree, WriteFile, SetFilePointer, GetCurrentDirectoryA, SetCurrentDirectoryA. Az ELF fájlok esetén a bináris elején módosítja a kódot, és a fájl végéhez fűzi magát; futtatáskor először a vírus kódja fut le (további fertőzhető állományokat keres), majd visszaadja a vezérlést a gazdafájlnak. A Win32/Linux.Winux eddig ismeretlen volt, az első bejelentés a Central Command nevéhez fűződik, tőlük már egy kereső is letölthető, amivel megvizsgálhatjuk rendszerünket.

A terjedési metóduson túl sajnos nem mennek a vírusról szóló hírek, pedig gondolom többen is kíváncsiak lennének a részletekre... Valószínűnek tartom, hogy a levélben terjedő változat (amit a Central Command is kapott) egy Win32-es program, amely Linux alatt nem életképes, de meg tudja fertőzni a Windows partícióján lévő ELF fájlokat, a fertőzött ELF binárisok pedig már tudják terjeszteni Linux alatt is (?) a Winuxot. Még egyszer: ez pusztán spekuláció, így, ebben a formában sehol nem szerepel, várjuk a további, kielégítően részletes híreket a vírusról.

Hírforrások:

• Central Command
• McAfee
• MTI
• Origo
• Yahoo/Reuters