Linux.Nuxbee.1403
Description Linux.Nuxbee.1403
This is a relatively harmless, non-memory resident parasitic Linux virus. It searches for ELF files in the directory bin, then writes itself to the middle of the file. The virus infects files if the current user has administrator rights. It writes itself to the Entry point offset, encrypts and saves original bytes at the end of a file.
Before infecting: After infecting:
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ ELF Headers ³ÄÄ¿ ³ ELF Headers ³ÄÄ¿
³ ³ ³ ³ ³ ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ³ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ³
³ Section 1 ³<ÄÙ Entry ³ Virus ³<ÄÙ Entry
³ ³ point ³ ³ point
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
³ Section 2 ³ ³ Section 2 ³
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
. . . . . .
ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
³ Section n ³ ³ Section n ³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
³ EP data ³ Encrypted data
³ ³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
To restore an original file, the virus reads and encrypts the original bytes from the host file. It uses file mapping functions to infect files. All system functions are summoned by INT 80h (Sys call). The virus contains the following text string:
NuxBee by Bumblebee - The NeXt Frontier
Check other viruses! Be aware! Use Antiviral Software
T555.556
Description T555.556
It is a harmless memory resident encrypted parasitic virus. It hooks INT 21h and writes itself to the end of COM-files that are executed. The virus contains the internal text string:
T555 the terminator - And when we will succed , a new era
will begin for manthe century of the machine ,QzSaEcFD!
Tabulero Family
Description Tabulero Family
These are not dangerous memory resident parasitic viruses. They hook INT 9, 21h and write themselves to the end of EXE files that are executed or loaded into the memory as overlays. The viruses display:
TABULERO
They also contain the text strings:
"Tabulero.2048.a": IUPLCM Wilmer
"Tabulero.2048.a": ODALUBAT atse CP us, otreum ah LEMRAC
--IUP LUIS CABALLERO MEJIAS--Wilmer 86-
ISRAEL
|