Win32.Winux, virus multipiattaforma

Secondo gli esperti si tratta del primo virus in grado di infettare sia Linux che Windows, una vera pietra miliare nella storia dei codici virali. Nonostante la sua scarsa pericolosità, i suoi scopritori temono l'arrivo di nuove mutazioni
Secondo gli esperti si tratta del primo virus in grado di infettare sia Linux che Windows, una vera pietra miliare nella storia dei codici virali. Nonostante la sua scarsa pericolosità, i suoi scopritori temono l'arrivo di nuove mutazioni


Medina (USA) – Lo si potrebbe chiamare, con un termine tanto di moda in questo periodo, il virus della “par condicio”: infetta sia Windows che Linux, i due più noti e diffusi sistemi operativi oggi sulla piazza. Scovato dal produttore di antivirus Central Command, W32.Winux non è pericoloso e, come i suoi più vecchi antenati, si preoccupa esclusivamente di replicarsi.

Il fatto però di poter infettare sia i sistemi Windows sia i sistemi Linux, una caratteristica che Central Command considera assolutamente originale, lo ha naturalmente fatto passare all’immediata cronaca. Nonostante la sua disarmante semplicità, W32.Winux potrebbe infatti rappresentare l’inizio di una nuova generazione di virus “multipiattaforma”.

“Sebbene la gente non condivida i file eseguibili fra questi due sistemi operativi (Windows e Linux, N.d.R.), questo nuovo concept virus rappresenta un’innovazione tecnologica che potrebbe portare alla creazione, in futuro, di virus ben più distruttivi”, ha avvertito Steven Sundermeier, Product Manager di Central Command.

Per il momento, comunque, non è ancora stata segnalata alcuna infezione da W32.Winux, tanto che altri produttori di antivirus, come McAfee.com, non gli hanno dato particolare risalto tranquillizzando sul fatto che il virus “non si trova allo stato brado”.

Central Command sostiene di aver ricevuto il virus attraverso una mail anonima proveniente dalla Repubblica Ceca: l’autore sarebbe un certo Benny, appartenente al gruppo di virus writer noto come “29A”, lo stesso che in passato ha “firmato” alcuni dei virus più innovativi (ma non particolarmente cattivi) del momento.


Central Command descrive Win32.Winux come un virus scritto in linguaggio assembly, non residente in memoria, in grado di replicarsi sotto Windows 95/98/Me/NT/2000 (Win32) e Linux e capace di infettare i file eseguibili in formato PE (Windows) e ELF (Linux).

Il metodo di infezione è molto semplice e si basa sulla ricerca di tutti i file eseguibili non inferiori a 100 KB che si trovano nella directory corrente ed in tutte le sottodirectory. A seconda del tipo di eseguibile, PE o ELF, il virus avvia una specifica routine di infezione (i cui dettagli si possono trovare nella scheda tecnica stilata da Central Command).

W32.Winux contiene al suo interno la seguente stringa di testo:
[Win32/Linux.Winux] multi-platform virus by Benny/29A
This GNU program is covered by GPL
.

Come si può vedere l’autore del virus fa sfoggio di un certo senso dell’umorismo, dichiarando che la sua creazione aderisce alla General Public License, la stessa licenza open source sotto cui viene rilasciato GNU/Linux e che incoraggia la modifica del software per migliorarlo e adattarlo alle esigenze di ognuno. In genere, per i virus, questo è sempre stato implicito: chi mai avrebbe il coraggio di rivendicarne la proprietà intellettuale?

Win32.Winux è stato descritto come un virus multipiattaforma, e lo è, ma i meno smaliziati potrebbero immaginare si tratti di un file eseguibile in grado di girare su entrambi i sistemi operativi, Windows e Linux, quasi come si trattasse di uno script Java: così non è.


In verità il file d’origine del virus, quello per intenderci introdotto su Internet dal suo autore, è un file eseguibile in formato PE, dunque in grado di girare unicamente sotto Windows. W32.Winux, nella sua entità originale, è sì capace di infettare i file Linux, ma questo soltanto dopo che da un sistema Windows sia riuscito ad accodare il suo codice all’interno di un file eseguibile ELF e che quest’ultimo venga poi copiato e lanciato sotto Linux. Il contrario se il file di orgine del virus fosse stato scritto per diffondersi inizialmente da Linux anziché da Windows.

Questo virus presenta dunque due facce, e non a caso Central Command gli ha assegnato due nomi: W32.Winux, quando la parte di codice “attiva” è quella Windows, e Linux.Winux, quando la parte di codice “attiva” è quella Linux. Da notare che le “due facce” sono sempre presenti: quando un sistema Linux viene infettato, il file contenente il virus continuerà a portare in sé entrambe le routine di infezione e sarà dunque in grado di infettare a sua volta sia gli eseguibili ELF sia gli eseguibili PE.

Ma questa nuova generazione di virus “multipiattaforma”, come sono stati battezzati, potrebbe davvero minacciare la relativa tranquillità che regna sovrana da diversi decenni nel mondo Unix, da cui Linux discende?

Daniel Pearson, appindex editor di Freshmeat.net, in un articolo pubblicato da NewsForge.com afferma che “un disinformato o incauto utente potrebbe credere che il virus W32.Winux rappresenti l’inizio di quella grande valanga di virus per Linux che è stata predetta in varie epoche e da vari sapientoni. Ma così non è”.

Pearson ricorda infatti come l’antico e banale meccanismo di infezione adottato da W32.Winux abbia ben poche chance di infettare in maniera grave un sistema Linux gestito “con la testa”, e questo per la presenza di diritti di proprietà sui file che impediscono ad un normale utente di eseguire o aprire in scrittura file di altri utenti o del sistema: tutto ciò a patto, naturalmente, che l’utente root (il super utente) “si comporti bene” e non esegua file di incerta origine.

Link copiato negli appunti

Ti potrebbe interessare

28 03 2001
Link copiato negli appunti