In den Labors von Kaspersky Antivirus http://www.kaspersky.com/
ist ein neuer Cross-Plattform Virus aufgetaucht. Der Schädling mit den
Namen Virus.Linux.Bi.a beziehungsweise Virus.Win32.Bi.a ist in
Assembler programmiert und kann nur das aktuelle Datenverzeichnis
angreifen. Allerdings kann der Virus Dateien in beiden Formaten, die
Windows und Linux verwenden, ELF und PE, attackieren.Laut Kaspersky wurde der Virus vermutlich nur verbreitet, um die
Machbarkeit von Cross-Plattform-Viren unter Beweis zu stellen. "Unsere
Erfahrung zeigt allerdings, dass nach einem Beweis-Virus andere
Programmierer den Code übernehmen und ihn für eigene, gefährlichere
Viren nutzen", schreibt Kaspersky. Obwohl der Effekt von Bi.a relativ
gering sein dürfte, erwarten die Experten, dass man in Zukunft mit mehr
Cross-Plattform-Malware rechnen muss.
Der Virus nutzt die
Kernel362.dll-Funktion, um in ein Win32-System zu gelangen. Infizierte
Dateien können über eine 2-Byte-Signatur identifiziert werden. Um
ELF-Files anzugreifen nutzt Bi.a die INT 80-Systemaufrufe und schreibt
sich zwischen den Dateivorsatz und die ".text"-Sektion. Damit ändert
sich der Einsprungspunkt der Datei.