Новый вирус Magistr: медленнее ILoveYou, но опаснее «Чернобыля»

Author:

Алексей Рерих

Как сообщает в среду The Register, по Сети в диком виде распространяется новый разрушительный полиморфный вирус Magistr. Зафиксировано уже несколько десятков случаев появления вируса, и тем, кто его обнаружил, можно только посочувствовать.

На этот раз новый почтовый червь представляет собой нечто более серьезное, чем «голые женушки» и «анны курниковы», состряпанные любителями легкой славы и экспериментов над публикой.

Новый вирус использует крайне сложные технологии распространения и сокрытия себя в зараженных системах. Кроме того, вирус обладает целым рядом деструктивных функций, приводящих к уничтожению не только данных на жестком диске, но и к нарушению работы аппаратного обеспечения. Как и подавляющее большинство его собратьев и предков, Magistr распространяется и живет в среде Windows/32.

Как явствует из строки программного кода червя, написан он неким шведским хакером по кличке «The Judges Disemboweler» («Потрошитель богов»). Видимо, с этим самоназванием связано то, что после выполнения деструктивных действий вирус показывает следующее сообщение: «YOU THINK YOU ARE GOD, BUT YOU ARE ONLY A CHUNK OF SHIT» («ты думаешь, ты бог, а ты просто кусок дерьма»).

Вирус распространяется тремя способами: посредством электронной почты в виде прикрепленного исполняемого файла; через компьютеры и серверы, включенные в локальную сеть; при использовании переносных накопителей.

После активации вирус сразу же прописывает себя в систему и преступает к рассылке по имеющимся в базе данных электронным адресам. Через некоторое время вирус приступает к более серьезным действиям.

Magistr сканирует базы данных почтовых программ Outlook Express, Netscape Messenger, Internet Mail, а также адресную книгу Windows, записывая выуженные данные в специально создаваемый файл с расширением DAT.

При рассылке себя по адресам вирус случайным образом выбирает заголовки сообщений из найденных на компьютере файлов с расширением .DOC и .TXT, либо из содержащегося в теле вируса набора стандартных фраз на английском, французском или испанском языке. То есть простой классический метод определения зараженного файла по его расширению, полю subject или тексту, в данном случае не работает. При этом в качестве вложенных файлов вирус использует случайно выбранный на компьютере исполняемый файл меньше 132 Кб. Все это существенно затрудняет идентификацию зараженных писем.

Помимо этого вирус искажает — опять-таки случайным образом — адрес отправителя, после чего владелец зараженного компьютера, с которого производится рассылка, не может получить ответ от адресата с подтверждением о прочтении файла или вопросом о его содержании.

При внедрении в систему вирус заражает исполняемые файлы на всех локальных дисках, при этом в процессе внедрения в файлы вирус использует сложную процедуру: тело вируса разделяется на три части, две из которых шифруются полиморфным кодом.

После запуска зараженного файла, вирус перехватывает его выполнение в точке входа и переадресовывает обработчик команды на код вируса. И только после окончания выполнения основного кода вируса управление снова передается оригинальной программе.

Magistr изменяет файл WIN.INI и системный реестр таким образом, что вирус активизируется каждый раз при запуске операционной системы.

В зависимости от версии ОС Windows, вирус выполняет различные деструктивные действия. Через месяц после заражения компьютеров, работающих под Windows NT/2000, вирус уничтожает все файлы на локальных и сетевых дисках, записывая вместо их содержимого одну и ту же фразу — «YOUARESHIT». Кроме того, на компьютерах под управлением OC Windows 95/98 и МЕ вирус сбрасывает данные в памяти CMOS и уничтожает данные FLASH BIOS.

Помимо этого вирус также способен вызвать эффект «убегающих иконок»: при попытке кликнуть мышкой на иконке, она перемещается.

«Лаборатория Касперского» заявляет: «В данном случае мы имеем дело с весьма сложным и технологически продвинутым вирусом, впитавшем в себя все наиболее эффективные методы распространения, заражения, маскировки и самые опасные деструктивные функции. По сути дела, Magistr — это результат успешного скрещивания бешеной скорости распространения вируса «ILOVEYOU» и разрушительного воздействия «Чернобыля».

ССЫЛКИ ПО ТЕМЕ


«Лаборатория Касперского»

Hardware-trashing virus spreads by email — The Register, 14.03.01

Magistr: рецепт приготовления смеси вируса и сетевого червя, приправленной многоуровневым полиморфизмом — «Лаборатория Касперского», 14.03.01

МАТЕРИАЛЫ ПО ТЕМЕ


Крестный отец «Анны Курниковой» обновил свой генератор вирусов13.03.01


Вирус «Голая женушка» обещает показать жену друга07.03.01


Почтовый червь MyBabyPic смутил «Лабораторию Касперского»28.02.01


Автора «Анны Курниковой» зовут на работу в полицию19.02.01


Червь «Анна Курникова»: пришел, увидел и … ушел13.02.01


Вирус Ramen одичал и напал на лабораторию NASA26.01.01


Главным разносчиком «заразы» в 2000 году признана электронная почта18.12.00


Самым разрушительным вирусом 2000 года оказался малоизвестный почтовый червь14.12.00


В Новый год вирус проиграет пользователям гимн СССР16.11.00


Крупные компании поражает вирус для дураков13.11.00


Автору «Чернобыля» грозит три года тюрьмы18.09.00


Страшный вирус «I love you» возвращается в новом обличьи17.08.00