Данный вирус является нерезидентным вирусом. Bi — кроссплатформенный вирус, заражающий исполняемые файлы PE и Elf формата.
Данный вирус является нерезидентным вирусом. Bi — кроссплатформенный вирус, заражающий исполняемые файлы PE и Elf формата.
Вирус написан на асcемблере и достаточно прост: заражает файлы только в текущем каталоге и интересен, в основном, благодаря своей кроссплатформенности.
Так как Linux и Windows имеют разные форматы исполняемых файлов (ELF и PE соответственно), то код вируса содержит функции заражения файлов обоих типов.
Под Linux вирус использует системные вызовы через INT 80 и внедряет свое тело после ELF-заголовка файла перед секцией <.text>, изменяя точку входа оригинального файла.
Зараженные файлы помечаются в заголовке файла по смещению 0Bh двухбайтовой сигнатурой 7DFBh.
Под Win32 вирус использует функции Kernel32.dll. В PE-файлы вирус внедряется путем добавления тела в последнюю секцию. Управление вирусу передается также путем изменения точки входа. Зараженные файлы помечаются той же сигнатурой, но используют для этого поле PE-загловка <TimeDateStamp>.
Зараженные файлы содержат строки:
Кроме того, сам инфектор содержит строки:
Лечим цифровую неграмотность без побочных эффектов