![Dr. Web предупреждает об опасном полиморфном вирусе Win32. Polipos [21.04.2006 03:47]](/pictures/21/59542.jpg) |
|
Служба вирусного мониторинга организации " врач Веб " информировала пользователей пиринговых сетей об опасном полиморфном вирусе Win32. Polipos, который уже на протяжении целого месяца распространяется по различным пиринговым сетям. Началось распространение Win32. Polipos в марте текущего года. Кроме сложного полиморфного механизма, реализованного в вирусе, в нем содержалась и опасная функция " нейтрализации " целого ряда антивирусных программ и прочих средств безопасности. С легкостью распространяясь по P2P-сетям, вирус проникает на подключенные машины, и, будучи запущенным, скрытно делает их участниками об��едоступной P2P-сети. Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как будто бы " покрывая тело файла-жертвы собственными пятнами ". При этом вирус создает новую секцию и размещает в ней собственный основной зашифрованный код, сдвигая секцию ресурсов - При ее наличии - " вниз ". При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным об��азом, стартовым адресом вируса. При запуске вирус внедряет собственный код во все запущенные процессы. Исключение составляют процессы со следующими именами: savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32. Dll smss, csrss, spoolsv, ctfmon, temp так, в памяти оказываются несколько копий вируса, каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы С P2P на базе сетей Gnutella и пр. Зараженные файлы стают об��едоступными для участников этой сети. Резидентные копии Win32. Polipos перехватывают следующие API функции: ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW. При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве С оверлеями (sfx-архивы, файлов инсталляции и т. П.) вирус пытается сделать оригинальную копию файла во временном каталоге С именем ptf*. Tmp, которую и запускает. Это делается для об��ода наблюдения целостности, используемого некоторыми инсталляторами. без сомнения, распространение подобного вируса вызвало беспокойство среди пользователей соответствующих P2P сетей. Однако об��ащает на собственные плечи внимание довольно любопытное об��тоятельство .
|