Алексей Рерих
Как сообщает в среду The Register, по Сети в диком виде распространяется новый разрушительный полиморфный вирус
На этот раз новый почтовый червь представляет собой нечто более серьезное, чем «голые женушки» и «анны курниковы», состряпанные любителями легкой славы и экспериментов над публикой.
Новый вирус использует крайне сложные технологии распространения и сокрытия себя в зараженных системах. Кроме того, вирус обладает целым рядом деструктивных функций, приводящих к уничтожению не только данных на жестком диске, но и к нарушению работы аппаратного обеспечения. Как и подавляющее большинство его собратьев и предков, Magistr распространяется и живет в среде Windows/32.
Как явствует из строки программного кода червя, написан он неким шведским хакером по кличке «The Judges Disemboweler» («Потрошитель богов»). Видимо, с этим самоназванием связано то, что после выполнения деструктивных действий вирус показывает следующее сообщение: «YOU THINK YOU ARE GOD, BUT YOU ARE ONLY A CHUNK OF SHIT» («ты думаешь, ты бог, а ты просто кусок дерьма»).
Вирус распространяется тремя способами: посредством электронной почты в виде прикрепленного исполняемого файла; через компьютеры и серверы, включенные в локальную сеть; при использовании переносных накопителей.
После активации вирус сразу же прописывает себя в систему и преступает к рассылке по имеющимся в базе данных электронным адресам. Через некоторое время вирус приступает к более серьезным действиям.
Magistr сканирует базы данных почтовых программ Outlook Express, Netscape Messenger, Internet Mail, а также адресную книгу Windows, записывая выуженные данные в специально создаваемый файл с расширением DAT.
При рассылке себя по адресам вирус случайным образом выбирает заголовки сообщений из найденных на компьютере файлов с расширением .DOC и .TXT, либо из содержащегося в теле вируса набора стандартных фраз на английском, французском или испанском языке. То есть простой классический метод определения зараженного файла по его расширению, полю subject или тексту, в данном случае не работает. При этом в качестве вложенных файлов вирус использует случайно выбранный на компьютере исполняемый файл меньше 132 Кб. Все это существенно затрудняет идентификацию зараженных писем.
Помимо этого вирус искажает — опять-таки случайным образом — адрес отправителя, после чего владелец зараженного компьютера, с которого производится рассылка, не может получить ответ от адресата с подтверждением о прочтении файла или вопросом о его содержании.
При внедрении в систему вирус заражает исполняемые файлы на всех локальных дисках, при этом в процессе внедрения в файлы вирус использует сложную процедуру: тело вируса разделяется на три части, две из которых шифруются полиморфным кодом.
После запуска зараженного файла, вирус перехватывает его выполнение в точке входа и переадресовывает обработчик команды на код вируса. И только после окончания выполнения основного кода вируса управление снова передается оригинальной программе.
Magistr изменяет файл WIN.INI и системный реестр таким образом, что вирус активизируется каждый раз при запуске операционной системы.
В зависимости от версии ОС Windows, вирус выполняет различные деструктивные действия. Через месяц после заражения компьютеров, работающих под Windows NT/2000, вирус уничтожает все файлы на локальных и сетевых дисках, записывая вместо их содержимого одну и ту же фразу — «YOUARESHIT». Кроме того, на компьютерах под управлением OC Windows 95/98 и МЕ вирус сбрасывает данные в памяти CMOS и уничтожает данные FLASH BIOS.
Помимо этого вирус также способен вызвать эффект «убегающих иконок»: при попытке кликнуть мышкой на иконке, она перемещается.
«
ССЫЛКИ ПО ТЕМЕ |
МАТЕРИАЛЫ ПО ТЕМЕ |
Крестный отец «Анны Курниковой» обновил свой генератор вирусов — 13.03.01
Вирус «Голая женушка» обещает показать жену друга — 07.03.01
Почтовый червь MyBabyPic смутил «Лабораторию Касперского» — 28.02.01
Автора «Анны Курниковой» зовут на работу в полицию — 19.02.01
Червь «Анна Курникова»: пришел, увидел и … ушел — 13.02.01
Вирус Ramen одичал и напал на лабораторию NASA — 26.01.01
Главным разносчиком «заразы» в 2000 году признана электронная почта — 18.12.00
Самым разрушительным вирусом 2000 года оказался малоизвестный почтовый червь — 14.12.00
В Новый год вирус проиграет пользователям гимн СССР — 16.11.00
Крупные компании поражает вирус для дураков — 13.11.00
Автору «Чернобыля» грозит три года тюрьмы — 18.09.00
Страшный вирус «I love you» возвращается в новом обличьи — 17.08.00