发信人: emil()
整理人: emil(2001-04-22 22:39:21), 站内信件
|
Win32.Winux
病毒名称:Win32.Winux
别名: Linux.Winux, Win32.PEELF.2132, W32/Lindose, ELF/Lindose, W32/Winux, LINDOSE.A, WINUX, PE_LINUDOSE.A, ELF_LINUDOSE.A
危险等级:低
发作时间:无
长度: 2,132字节
感染症状:无
发作症状:无
病毒类型:文件型跨平台病毒
操作平台:Windows和Linux操作平台
感染对象:Windows PE格式执行文件和Linux ELF格式执行文件
病毒介绍:
这是一个文件型病毒,由一个自称是29A病毒编写组织成员的Benny用汇编语言编写。该病毒不驻留内存,但能在Windows 95/98/Me/NT/2000和Linux操作系统中传播,感染Windows PE格式执行文件和Linux ELF格式执行文件。虽然它没有什么危害性,传播机制也比较简单,不过却标志着新一代的感染多操作平台病毒的到来!
简单说一下它的感染机制:
感染Win32 PE格式文件:
病毒感染WIn32 PE格式执行文件时首先判断该文件是否大于16,384字节,如果是则检查文件中是否含有.reloc部分,如果有则检查.reloc部分长度是否大于2,632字节,如果成立的话就覆盖执行文件中的.reloc部分,感染该文件,如果程序中的.reloc部分长度不足以容纳病毒代码就不会被感染,该病毒应用了一下API功能去感染文件:
FindFirstFileA
FindNextFileA
FindClose
CreateFileA
CreateFileMappingA
MapViewOfFile
UnmapViewOfFile
CloseHandle
VirtualAlloc
VirtualFree
WriteFile
SetFilePointer
GetCurrentDirectoryA
SetCurrentDirectoryA
感染Linux ELF格式文件:
病毒感染Linux ELF格式执行文件首先检查文件是否大于2,784字节,如果是则用病毒代码覆盖文件的入口端,并在文件尾部加上病毒代码,当执行被感染文件时,便首先调用病毒代码进行传播,然后再把控制权交还原文件。
病毒体中含有以下一段特征字符串:“[Win32/Linux.Winux] multi-platform virus by Benny/29A”和“This GNU program is covered by GPL.”
备注:请及时升级你的反病毒软件!
----
欢迎光临聊毒斋!!!
http://cnav.cn99.com or http://cnav.6to23.com
Email: [email protected]
Oicq:201604 |
|