Am 8. März wurde auf informit die Analyse einer neuen Virusart veröffentlicht. Neu ist dabei vor allem, dass dieser Virustyp auf zwei Plattformen sein Unwesen treibt und zwar auf Windows XP, Windows Server 2003 und gleichzeitig befällt er PDA's mit Windows Mobile.
Im oben genannten Artikel wird detailiert beschrieben wie einfach es ist, mit den entsprechenden Werkzeugen einen "Crossover Virus" zu schreiben. Auf der Win32-Seite werden die bekannten Möglichkeiten über Registry-Einträge genutzt und auf dem WinCE bzw. Windows Mobile Pocket PC werden die vorher programmierten Funktionen ausgeführt.
Der Mobile Antivirus Researchers Association (MARA ) wurde ein sogenanntes Proof of Concept zugesendet, zu deren Mitgliedern auch Hersteller von Antiviren-Software gehören. Diese "Proof of Concept" aus einer anonymen Quelle erhielt den treffenden Namen "Crossover-Trojan" und obwohl seine Schadfunktion offenbar noch nicht sehr ausgeprägt ist, zeigt er doch die Machbarkeit.
Nach dem Start auf einer Win32-Maschine prüft der Trojaner welche Betriebssystemversion vorliegt und wenn es kein WinCE o.ä. ist, erzeugt er einen Register-Schlüssel in local - machine - current - version - run und erzeugt eine weitere Kopie seiner selbst. Fortan wartet er geduldig ob eine ActivSync-Verbindung besteht und falls diese aufgebaut wird kopiert er sich auf den Pocket PC um dort dann sämtliche Datein im Verzeichnis \My Documents zu löschen.
Da der Trojaner über seinen Eintrag in der Registry bei jedem Systemstart eine weitere Kopie erzeugt und startet wird es wohl nicht lange dauern bis die Systemresourcen auf der Win32-Maschine aufgebraucht sind und sich sein Besitzer vielleicht mal darüber Gedanken macht, dass da was nicht in Ordnung ist.
