Антивирус Dr.Web защищает пиринговые сети от опасного вируса Win32.Polipos
Служба вирусного мониторинга компании «Доктор Веб» информирует всех пользователей пиринговых сетей об опасном полиморфном вирусе Win32.Polipos, который уже в течение целого месяца распространяется по различным пиринговым сетям. Началось распространение Win32.Polipos в марте этого года. Тогда же (20 марта) он был добавлен в вирусную базу антивируса Dr.Web и с этого момента для наших пользователей он не представлял никакой угрозы. Помимо сложного полиморфного механизма, реализованного в вирусе, в нем содержалась и опасная функция "нейтрализации" целого ряда антивирусных программ и прочих средств безопасности. С легкостью распространяясь по P2P-сетям, вирус проникает на подключенные машины, и, будучи запущенным, скрытно делает их участниками общедоступной P2P-сети. Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы "покрывая тело файла-жертвы собственными пятнами". При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код, сдвигая секцию ресурсов - при ее наличии - "вниз". При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным образом, стартовым адресом вируса. При запуске вирус внедряет свой код во все запущенные процессы. Исключение составляют процессы со следующими именами: savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll smss, csrss, spoolsv, ctfmon, temp Таким образом, в памяти оказываются несколько копий вируса, каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и пр. Зараженные файлы становятся общедоступными для участников этой сети. Резидентные копии Win32.Polipos перехватывают следующие API функции: ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW. При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве с оверлеями (sfx-архивы, файлов инсталляции и т.п.) вирус пытается создать оригинальную копию файла во временном каталоге с именем ptf*.tmp, которую и запускает. Это делается для обхода контроля целостности, используемого некоторыми инсталляторами. Безусловно, распространение подобного вируса вызвало беспокойство среди пользователей соответствующих P2P сетей. Однако обращает на себя внимание довольно любопытное обстоятельство. Несмотря на то, что присутствие в P2P-сетях Win32.Polipos не является ни для кого новостью уже около месяца, антивирус Dr.Web до последних дней был единственным, кто его детектировал. В самом начале эпидемии пользователи Dr.Web сетовали на срабатывание антивируса на якобы чистые файлы, но вирусные аналитики компании «Доктор Веб» подтвердили факт существования именно нового вируса. Успешное детектирование различных вариантов этого сложного полиморфика возможно благодаря высокому технологическому уровню антивирусного ядра Dr.Web. В настоящее время Служба вирусного мониторинга компании «Доктор Веб» разработала и процедуру лечения зараженных вирусом Win32.Polipos файлов. Сделано это, в частности, по просьбам тех пользователей, чьи антивирусные программы до сих пор не детектируют этот вирус и позволяют ему беспрепятственно заражать файлы на, казалось бы, защищенных компьютерах. Механизм лечения довольно сложен, поскольку требует обработки сложного криптоалгоритма XTEA, поэтому порой на дешифровку кода вируса может уходить довольно значительное (по компьютерным меркам) время. Для лечения зараженных файлов не требуется скачивания никаких дополнительных утилит - все осуществляется средствами самого антивируса Dr.Web при условии своевременного обновления вирусных баз. groteck.ru/
Похожие по содержанию материалы раздела: В Сибири горят леса на площади более тысячи гектаров Пожар в общежитии в Пензенской области Дома-интернаты готовы к пожарам 10 команд Псковской области сразятся в финале конкурса «Я и пожарная безопасность» Открыта «Горячая линия» по переходу на лицензионный софт Компьютерные вирусы готовятся к атаке на бытовую технику Защита информации на уровне конечного пользователя Московская железная дорога продолжает оснащать свои объекты системами видеонаблюдения В Томска пройдет проверка более 3000 домов на предмет соблюдения мер пожарной безопасности FCC ужесточила правила защиты данных о телефонных разговорах Пожар в реконструируемом здании школы в центре Москвы ликвидирован За прошедшие сутки в Сибири ликвидировано более 20 лесных пожаров «Сеть пультовой охраны» начинает работу в Подмосковье Хит-парад расширений для Firefox, которые не следует устанавливать Apache Foundation обратилась к Sun с открытым письмом В центре Москвы горит здание, где расположен музей им. Вернадского Учения первого уровня реагирования по ликвидации аварийного разлива нефтепродуктов В Саратове проходит операция «Жилище-2007» Белый дом теряет гостайны через e-mail
|