jueves, 29 de marzo de 2001

Winux, primer virus para ejecutables de Windows y Linux

Este espécimen merece nuestra atención sólo por tratarse del primer
virus que infecta ejecutables tanto en Windows como Linux. No se han
detectado, ni se esperan, casos de infecciones significativas, ya que
se trata de una prueba de concepto bastante primitiva no optimizada
para su propagación.
Winux, también conocido como Lindose, es un virus escrito en
ensamblador 80386 que infecta ejecutables Windows (PE) y Linux (ELF)
por acción directa (no queda residente en memoria). Su única acción
consiste en buscar ficheros con estos formatos en el directorio
actual, además de en los superiores en el caso de Windows, para
proceder a su infección. No posee ningún tipo de efecto destructivo.

La infección desde un sistema a otro sólo se puede dar al compartir
ejecutables infectados, por lo que su capacidad de reproducción con
respecto a otros tipo de especímenes es bastante reducida. En el caso
de infecciones entre plataformas es aun más complicado, ya que
tendría que darse el caso de que un sistema Windows tuviera
almacenados ficheros binarios de Linux, o viceversa, para poder
infectarlos y que a posteriori el usuario los compartiera con la otra
plataforma.

En el interior del virus podemos encontrar una cadena con el apodo
del autor, Benny, y con referencias a 29A, el famoso grupo de
creadores de virus conocido por sus innovaciones en este mundillo. De
este mismo grupo ya tuvimos ocasión de examinar años atrás a
Esperanto, primer virus multiplataforma y multiprocesador (PC/Mac)
creado por Mister Sandman, hoy día fuera del grupo 29A. Puede
encontrarse una completa descripción sobre Esperanto en el libro
"Virus 99, guía en 10 minutos", de Jose Manuel Soto, editorial
Pretince Hall, ISBN: 8483221454, en el que colaboré en un par de
capítulos.

Otros especímenes multiplataforma que marcaron época los podemos
encontrar en el apartado de macros para Office, como el Teocatl de
Reptile (Excel/Word) y el Cross de VicodinES (Access/Word), este
último creador saltaría a la fama por escribir el virus Melissa,
precursor de los actuales gusanos de Internet.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Virus hits both Linux and Windows
http://www.zdnet.com/zdnn/stories/news/0,4586,2701765,00.html

Experts debate severity of Winux virus
http://www.zdnet.com/zdnn/stories/news/0,4586,2702054,00.html

Winux
http://www.avp.ch/avpve/newexe/unix/winux.stm

W32/Lindose.2132
http://vil.nai.com/vil/dispvirus.asp?virus_k=99060

W32.PEElf.2132
http://www.sarc.com/avcenter/venc/data/w32.peelf.2132.html

PE_LINDOSE.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_LINDOSE.A

Windows/Linux virus poses low threat
http://www.sophos.com/virusinfo/articles/lindose.html