Moskau (pte/08.04.2006/13:45) - In den Labors von Kaspersky Antivirus http://www.kaspersky.com/ ist ein neuer Cross-Plattform Virus aufgetaucht. Der Schädling mit den Namen Virus.Linux.Bi.a beziehungsweise Virus.Win32.Bi.a ist in Assembler programmiert und kann nur das aktuelle Datenverzeichnis angreifen. Allerdings kann der Virus Dateien in beiden Formaten, die Windows und Linux verwenden, ELF und PE, attackieren.
Laut Kaspersky wurde der Virus vermutlich nur verbreitet, um die Machbarkeit von Cross-Plattform-Viren unter Beweis zu stellen. "Unsere Erfahrung zeigt allerdings, dass nach einem Beweis-Virus andere Programmierer den Code übernehmen und ihn für eigene, gefährlichere Viren nutzen", schreibt Kaspersky. Obwohl der Effekt von Bi.a relativ gering sein dürfte, erwarten die Experten, dass man in Zukunft mit mehr Cross-Plattform-Malware rechnen muss.
Der Virus nutzt die Kernel362.dll-Funktion, um in ein Win32-System zu gelangen. Infizierte Dateien können über eine 2-Byte-Signatur identifiziert werden. Um ELF-Files anzugreifen nutzt Bi.a die INT 80-Systemaufrufe und schreibt sich zwischen den Dateivorsatz und die ".text"-Sektion. Damit ändert sich der Einsprungspunkt der Datei.
