Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Winux (Lindose). El primer virus para Windows y Linux
 
VSantivirus No. 264 - Año 5 - Jueves 29 de marzo de 2001

Winux (Lindose). El primer virus para Windows y Linux
http://www.vsantivirus.com/winux.htm

Nombre: Winux (Lindose, PEElf)
Tipo: Infector de Archivos de Windows y Linux
Alias: W32/Lindose, ELF/Lindose, W32/Winux, W32.PEElf.2132, Linux.PEElf.2132, W32.Winux, Linux.Winux
Tamaño: 2,132 o 2,784 bytes
Fecha: 27/mar/01
Activo: No

Es un virus escrito en lenguaje assembler, por lo que su tamaño es de un poco más de 2 Kb. No es residente, pero puede afectar las plataformas Windows y Linux, a través de los archivos de formatos PE y ELF respectivamente. Esto lo convierte tal vez, en el primer virus conocido con estas características.

No posee ninguna rutina destructiva, ni capacidad de propagarse fuera de su entorno por si solo.

Bajo Windows, el virus busca todos los archivos en el directorio actual y superiores (hasta 20 niveles atrás), e infecta archivos en formato Portable Executable (PE) de Windows, y también archivos ELF de Linux (aún en la versión de Windows), ya que posee dos subrutinas, una por cada tipo de archivo. Para identificar esos archivos, el virus examina el formato interno de estos.

La versión de Linux por su parte, busca archivos PE (de Windows) y binarios Linux86 (ELF) de Linux, en el directorio actual solamente. También posee dos subrutinas, lo que le permite infectar ambos tipos de archivos.

De este modo, cualquier archivo de otro sistema, presente en el sistema actual, sería infectado, y de transportarse este al sistema nativo, continuaría a su vez con la infección bajo ese entorno.

Para infectar los archivos PE de Windows (solo aquellos mayores de 16 Kb y menores de 4 Gb), el virus busca la sección ".reloc" en su código. Si la encuentra (y hay más de 2,132 bytes disponibles), el virus escribe su propio código en el medio del archivo.

También guarda la dirección de entrada original (Entry Point), y restaura el archivo original luego de su trabajo. No cambia el tamaño de los archivos infectados, ya que guarda el código necesario en la tabla de recolocaciones (.reloc), espacio usado solo en la etapa de compilación del programa.

Bajo Windows, el virus utiliza las siguientes funciones API para infectar otros archivos:

FindFirstFileA
FindNextFileA
FindClose
CreateFileA
CreateFileMappingA
MapViewOfFile
UnmapViewOfFile
CloseHandle
VirtualAlloc
VirtualFree
WriteFile
SetFilePointer
GetCurrentDirectoryA
SetCurrentDirectoryA

Bajo Linux, el virus se copia a si mismo en el punto de entrada del archivo (si existen más de 2,784 bytes), y guarda el código original al final de aquél, aumentando por lo tanto el tamaño del archivo en 2,784 bytes.

También guarda el código de entrada (Entry Point) original, y restaura el archivo ELF luego de su trabajo. No actúa si el procesador de la computadora en que se ejecuta no es del tipo Intel386. Además, cambia el nombre del archivo de minúsculas a todas mayúsculas.

Bajo Linux, el virus solo examina el tamaño de las secciones utilizadas (de los archivos PE y ELF), no el tamaño total del archivo.

El virus contiene el siguiente texto:

[Win32/Linux.Winux] multi-platform virus by Benny/29A

Y también:

This GNU program is covered by GPL.

Ninguno de ellos es mostrado durante la ejecución del virus.

Tenga en cuenta que aunque el virus no puede propagarse por si solo, ni auto enviarse por correo electrónico, su envío premeditado, o su descarga desde algún sitio Web malicioso, pueden ser sus puntos de entrada a nuestra computadora.

Mantenga al día sus antivirus, y practique siempre las reglas para una computación segura, algunas de las cuáles siempre incluimos en nuestros boletines.

Puede ver este y otros consejos al respecto, en nuestro sitio.


Ver también:
29/mar/01 - Winux. Un nuevo concepto. ¿Cuál es su verdadero peligro?
12/feb/01 - San Valentín y los virus. Consejos para todo el año
17/dic/00 - Cinco dudas sobre el correo electrónico y los virus
13/dic/00 - Cómo ejecutar F-PROT en un disquete (actualizado)
26/nov/00 - Pautas generales para mantenerse alejado de los virus





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS