Alias: W32/Lindose, Winux Peelf, ELF/Lindose, Win32/Winux, W32.PEElf.2132

W32.Winux es el primer virus que infecta los archivos ejecutables PE de Windows en todas sus versiones (95, 98 Me, NT y 2000) y los archivos ejecutables ELF de Linux, descubierto en Marzo 2001.

Es un virus residente en memoria escrito en un "primitivo" lenguaje de programación llamado ensamblador, que haría posible la infección de ambos sistemas operativos. Este virus no se difunde rápidamente ya que sólo se ejecuta en procesadores Intel Pentium (no en servidores Sun Microsystems bajo Linux) y no se autoenvía a través del correo al resto de direcciones.

Cuando el virus se ejecuta, busca los archivos con extensiones PE y ELF en el directorio actual y otros directorios por encima de este en el árbol de directorios.

Si encuentra un archivo PE, el virus busca la sección .reloc y la sobrescribe siempre y cuando el tamaño de la sección sea lo suficientemente grande para que pueda acoger el asunto del virus. Utiliza las siguientes funciones API para infectar otros archivos:

FindFristFileA
FindNextFileA
FindClose
CreateFileA
CreateFileMappingA
MapViewOfFile
CloseHandle
VirtualAlloc
VirtualFree
WriteFile
SetFilePointer
GetCurrentDirectoryA
SetCurrentDirectoryA

Si encuentra un ejecutable ELF, el virus agrega el código del host original no infectado al final del archivo, de manera que pueda restaurarse y residir en memoria después de que el código del virus finalice su ejecución. También sobrescribe el punto original de entrada con el código del virus.

Los archivos infectados contienen el siguiente texto:

[Wind32/Linux.Winux] multi-platform virus by Dbenny/29ª

y

This GNU program is covered by GPL