Magistr: рецепт приготовления смеси вируса и сетевого червя, приправленной многоуровневым полиморфизмом

"Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, предупреждает пользователей об обна- ружении нового компьютерного вируса "Magistr", распространяющегося по эл- ектронной почте и ресурсам локальных сетей и использующего крайне сложные - технологии сокрытия своего присутствия на зараженных системах.

Судя по комментариям в коде вируса, он создан неким шведским хакером по кличке "The Jud- ges Disemboweler".

Лаборатория Касперского уже получила несколько сообщений о факта- х обнаружения вируса в "диком" виде.

"Magistr" может проникнуть в компьютер тремя основными способами. Во-первых, через письма электронной почты, в случае если пользователь запус- тил зараженный вложенный файл. Во-вторых, через локальную сеть, заражая файлы на доступных ресурсах серверов и других компьютеров. В-третьих, в п- роцессе обмена файлами с использованием мобильных накопителей. Сразу же после запуска инфицированного файла, вирус инициирует п- роцедуру внедрения в систему, рассылки и, через определенное время, актив- изирует встроенные деструктивные действия.

Для проведения рассылки по электронной почте, "Magistr" сканирует базы данных почтовых программ Outlook Express, Netscape Messenger, Internet Mail, а также адресную книгу Windows и считывает оттуда все электронные адреса. Данные о местоположении почтовых баз и их именах вирус записывает в специальный файл с расширением DAT. Имя этого файла получается п- утем шифрования имени компьютера. Например, если компьютер имеет сетевое имя CS-GOAT, то файл будет называться WG-SKYF.DAT. В зависимости от - первого символа имени DAT-файла он помещается в корневой каталог диска C: или директории "Windows" или "Program Files".

После этого он незаметно считывает адрес используемого компьютер- ом SMTP-сервера и от имени пользователя отсылает через него электро- нные сообщения, содержащие зараженные файлы, случайно взятые с зараже- нного компьютера. Заголовки сообщений случайным образом выбираются либо из найденных на компьютере DOC и TXT файлов, либо из содержащегося в теле вируса списка стандартных фраз на английском, французском и испа- нском языках.

Сообщения не содержат никаких текстов, а в качестве вложенных файлов вирус использует случайно выбранный на компьютере PE EXE или SCR файл длиной меньше 132 Кб. Подобная неустойчивость внешних признаков существ- енно затрудняет идентификацию пользователями зараженных писем. Важно отметить, что в процессе рассылки инфицированных писем, ви- рус случайным образом искажает адрес отправителя (удаляет или заменяет некоторые буквы).

Это обстоятельство также способствует сокрытию вирусной - активности на зараженном компьютере, поскольку его владелец во многих случаях не сможет получить ответ от получателя с подтверждением о прочтении файла или вопросом о его содержании: при попытке ответить письмо будет автоматически адресовано на несуществующий адрес. После запуска "Magistr" заражает все файлы форматов PE EXE и SCR в каталогах "Windows", "WinNT", "Win95" и "Win98" всех локальных дисков.

После этого он сканирует все доступные сетевые ресурсы и снова ищет те же каталоги и заражает обнаруженные там файлы. В процессе внедрения в файлы ви- рус использует ряд исключительно сложных методов, что значительно ос- ложняет процедуру его обнаружения и удаления. Для этого тело вируса разделяется на три части, две из которых шифруются полиморфным кодом, так что з- араженный файл выглядит следующим образом: Magistr_rus.bmp Таким образом, после запуска зараженного файла, вирус перехватывает его выполнение в точке входа и переадресовывает обработчик на код вируса.

И только после окончания выполнения основного кода вируса управление снова передается оригинальной программе. Для обеспечения своего постоянного присутствия в системе, "Magis- tr" модифицирует конфигурационный файл Windows WIN.INI и системный реестр таким образом, что вирус активизируется каждый раз при запуске операци- онной системы. При заражении сетевых ресурсов вирус модифицирует только WIN.INI. "Magistr" содержит исключительно опасную деструктивную функцию.

Через 1 месяц после заражения компьютеров под управлением Windows NT/2000 вирус уничтожает все файлы на локальных и сетевых дисках, записывая в них фразу "YOUARESHIT". В дополнение к этому, на компьютерах с установленной Windows 95/98/ME вирус сбрасывает данные в памяти CMOS (CMOS содержит ап- паратные параметры загрузки компьютера) и, подобно вирусу "Чернобыль" (CI- H), уничтожает содержимое микросхемы FLASH BIOS. После этого он пока- зывает следующее сообщение: Another haughty bloodsucker.......

YOU THINK YOU ARE GOD , BUT YOU ARE ONLY A CHUNK OF SHIT Кроме того, в зависимости от ряда условий, вирус запускает еще о- дну ghjwtlehe, вызывающую эффект "убегающих иконок": при установке у- казателя мыши на какой-либо иконке рабочего стола она тут же меняет свое местоположение, так что пользователь не в состоянии запустить соответствующую ей программу: Magistr_icons.bmp (изображение Вы найдете здесь: http://www.kaspersky.ru/news.asp?tnews=0&nview=1&id=178&page=0) "В данном случае мы имеем дело с весьма сложным и технологически продвинутым вирусом, впитавшем в себя все наиболее эффективные методы распро- странения, заражения, маскировки и самые опасные деструктивные функции, - к- омментирует Денис Зенкин, руководитель информационной службы Лаборатории Касперского, - По сути дела, Magistr - это результат успешного скрещивания бешеной скорости распространения вируса "ILOVEYOU" и разрушительного воздействия - "Чернобыля".

Учитывая опасность и быстрое распространение вируса "Magistr" Ла- боратория Касперского рекомендует пользователям немедленно обновить базы д- анных Антивируса Касперского, куда уже внесены процедуры защиты от данного вируса. Вы можете приобрести Антивирус Касперского в центральном офисе "- Лаборатории Касперского", у официальных партнеров компании или в российских Интернет-магазинах. Информационная служба "Лаборатории Касперского" 123363, Москва, ул.Героев Панфиловцев, 10 тел.: +7 (095) 948 56 50; факс: +7 (095) 948 43 31 e-mail: info@kaspersky.com; http://www.kaspersky.com; http://www.viruslist.com Сообщение не содержит вирусов.

Проверено Антивирусом Касперского (AVP).

Опубликовано: 15 марта 2001 г.

Ключевые слова: нет

Извините, комментариев пока нет