It's Now!
ПОЛИТИКАНАУКА И ТЕХНИКА
ЭКОНОМИКАКУЛЬТУРА И ШОУ-БИЗНЕС
ОБЩЕСТВОСПОРТ
ПРОИСШЕСТВИЯЗАРУБЕЖНЫЕ
 Т   Ц 
 В   В 
 О   Е 
 Й   Т 

Наука и техника
Наука и техника. Хроника.
21.04.2006 03:47

Dr. Web предупреждает об опасном полиморфном вирусе Win32. Polipos

Dr. Web предупреждает об опасном полиморфном вирусе Win32. Polipos [21.04.2006 03:47]

Служба вирусного мониторинга организации " врач Веб " информировала пользователей пиринговых сетей об опасном полиморфном вирусе Win32. Polipos, который уже на протяжении целого месяца распространяется по различным пиринговым сетям.

Началось распространение Win32. Polipos в марте текущего года. Кроме сложного полиморфного механизма, реализованного в вирусе, в нем содержалась и опасная функция " нейтрализации " целого ряда антивирусных программ и прочих средств безопасности. С легкостью распространяясь по P2P-сетям, вирус проникает на подключенные машины, и, будучи запущенным, скрытно делает их участниками об��едоступной P2P-сети.

Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как будто бы " покрывая тело файла-жертвы собственными пятнами ". При этом вирус создает новую секцию и размещает в ней собственный основной зашифрованный код, сдвигая секцию ресурсов - При ее наличии - " вниз ". При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным об��азом, стартовым адресом вируса.

При запуске вирус внедряет собственный код во все запущенные процессы. Исключение составляют процессы со следующими именами: savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32. Dll smss, csrss, spoolsv, ctfmon, temp

так, в памяти оказываются несколько копий вируса, каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы С P2P на базе сетей Gnutella и пр. Зараженные файлы стают об��едоступными для участников этой сети.

Резидентные копии Win32. Polipos перехватывают следующие API функции: ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW. При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве С оверлеями (sfx-архивы, файлов инсталляции и т. П.) вирус пытается сделать оригинальную копию файла во временном каталоге С именем ptf*. Tmp, которую и запускает. Это делается для об��ода наблюдения целостности, используемого некоторыми инсталляторами.

без сомнения, распространение подобного вируса вызвало беспокойство среди пользователей соответствующих P2P сетей. Однако об��ащает на собственные плечи внимание довольно любопытное об��тоятельство .

59542
Российские военные сняли на видео разрушение артиллерии террористов в сирийской арабской республике

Новейший российский беспилотник " Охотник " совершил 1-ый полет

Российские военные выполнят наблюдательный полет над территорией США

НАСА желает купить очередное место в российском " Союзе ", сказал источник

НАСА желает купить еще одно место в " Союзе ", сказал источник

На бывшей американской базе в сирийской арабской республике приземлились вертолеты ВКС

Британский самолет провел разведку у границ Калининградской области


Новости дня
Новости недели
Rambler's Top100
Copyright © It's  Now!