Capa » Notícias

Vírus complexo infecta Linux e Windows

Terça, 04 de junho de 2002, 11h23
A Symantec anunciou a descoberta de um vírus considerado "muito complexo", capaz de infectar tanto plataformas Windows quanto Linux. Segundo a empresa, o {Win32,Linux}/Simile.D, como foi batizado, utiliza técnicas de metamorfose, criptografia polimórfica e "entry-point obscuring", isto é, o vírus é capaz de começar a agir em qualquer momento após a execução de um arquivo infectado, e não apenas no início.

Também é o primeiro vírus polimórfico metamórfico a infectar sistemas Windows e Linux. O Simile.D não é destrutivo, mas os arquivos infectados mostram mensagens em certas datas. Esta é quarta versão da família Simile. A Symantec afirma que a variante introduz um novo mecanismo de infecção em plataformas Intel Linux, contaminando arquivos ELF de 32 bits (formato binário padrão de sistemas baseados em Unix). Também infecta arquivos Portable Executable (PE, arquivos que se pode rodar em qualquer uma das principais versões do Windows) em sistemas Win32.

Na primeira vez que o Simile.D é executado, verifica a data. Se esta coincidir com 17 de março ou 17 de setembro, e o arquivo que hospeda o vírus for de formato PE, a seguinte mensagem é apresentada:

Se a data for 17 de março ou 17 de maio e o arquivo infectado for de formato ELF, o vírus tenta mostrar uma mensagem de texto na tela, similar à seguinte:

Foi confirmado que o vírus infecta com sucesso as versões 6.2, 7.0 e 7.2 do Linux Red Hat, mas é pouco provável que funcione em outras distribuições comuns do Linux. Os arquivos contaminados aumentam cerca de 110 Kb de tamanho, mas isto pode variar devido às capacidades metamórficas do Simile.D.

A Symantec informa que até agora não teve notícia de nenhum caso de infecção pelo vírus, portanto pode-se considerá-lo ainda como um experimento de laboratório. Porém, o que mais chama a atenção no Simile.D, além de ser o segundo vírus conhecido a infectar plataformas Linux e Windows, é a assinatura em seu código, que pode ser vista nas figuras acima.

O termo 29A é o nome de um legendário grupo internacional de escritores de vírus e Mental Driller, um de seus integrantes (aparentemente, ele queria que sua criação fosse chamada de Metaphor 1C). O 29A é conhecido por criar vírus inovadores. O primeiro vírus capaz de contaminar sistemas Windows e Linux, o Winux ou Peelf, surgido no ano passado, também é do mesmo grupo. O primeiro vírus para a plataforma Microsoft .NET e para o Windows 2000, idem.

O vírus traz aperfeiçoamentos em relação ao seu antecessor. Enquanto o Winux usa duas rotinas separadas para infectar os arquivos PE ou ELF, o Simile.D compartilha uma boa parte de seu código entre as duas funções de infecção, tais como os mecanismos polimórficos e metamórficos. A únicas partes específicas para cada plataforma são o código para manipulação de diretórios (directory traversal code) e as funções API (Application Program Interface), isto é, as interfaces usadas para interação com servidores Web e outros aplicativos.

Mesmo sendo ainda um "vírus de laboratório", não se deve desprezar o significado do surgimento do Simile.D, dadas as capacidades técnicas de seus criadores.

Giordani Rodrigues

Volta para a capa | Volta para as notícias

Copyright © InfoGuerra 2000-2001. Todos os direitos reservados.