Dr. Web предупреждает об опасном полиморфном вирусе Win32. Polipos

Служба вирусного мониторинга организации " врач Веб " информировала пользователей пиринговых сетей об опасном полиморфном вирусе Win32. Polipos, который уже на протяжении целого месяца распространяется по различным пиринговым сетям.

��ачалось ��аспространение Win32. Polipos �� ��арте ��екущего г��да. ��роме ��ложного ��о��иморфного ��еханизма, ��еализованного �� ��ирусе, �� ��ем ��одержалась �� ��пасная ��ункция " ��ейтрализации " ��елого ��яда ��нтивирусных ��рограмм �� ��рочих ��редств ��езопасности. �� ��егкостью ��аспространяясь ��о P2P-��етям, ��ирус ��роникает ��а ��о��ключенные ��ашины, ��, ��удучи ��апущенным, ��крытно ��елает ��х ��частниками ��б��едоступной P2P-��ети.

��анный ��ирус ��аражает ��сполняемые ��айлы Windows, ��аписывая ��од ��о��иморфного ��асшифровщика �� ��еиспользуемые ��ространства ��одовых ��екций, ��ак ��удто ��ы " ��о��рывая ��ело ��айла-��ертвы ��обственными ��ятнами ". ��ри ��том ��ирус ��оздает ��овую ��екцию �� ��азмещает �� ��ей ��обственный ��сновной ��ашифрованный ��од, ��двигая ��екцию ��есурсов - ��ри ��е ��а��ичии - " ��низ ". ��ри ��недрении �� ��айл ��н ��е ��зменяет ��ригинальную ��очку ��хода, �� ��о��меняет ��дреса ��ызовов API, ��ыбранных ��лучайным ��б��азом, ��тартовым ��дресом ��ируса.

��ри ��апуске ��ирус ��недряет ��обственный ��од ��о ��се ��апущенные ��роцессы. ��сключение ��оставляют ��роцессы ��о ��ледующими ��менами: savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32. Dll smss, csrss, spoolsv, ctfmon, temp

��ак, �� ��амяти ��казываются ��есколько ��опий ��ируса, ��аждая ��з ��оторых ��твечает ��а ��пределенную ��еятельность, �� ��менно: ��о��ск ��о��ходящих ��айлов ��ля ��аражения, ��епосредственное ��аражение ��айлов, ��ункции ��аботы �� P2P ��а ��азе ��етей Gnutella �� ��р. ��араженные ��айлы ��тают ��б��едоступными ��ля ��частников ��той ��ети.

��езидентные ��опии Win32. Polipos ��ерехватывают ��ледующие API ��ункции: ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW. ��ри ��ызове ��ышеперечисленных ��ункций ��роисходит ��аражение ��овых ��айлов. ��ри ��ередаче ��правления ��айлу-��ертве �� ��верлеями (sfx-��рхивы, ��айлов ��нсталляции �� ��. ��.) ��ирус ��ытается ��делать ��ригинальную ��опию ��айла ��о ��ременном ��аталоге �� ��менем ptf*. Tmp, ��оторую �� ��апускает. ��то ��елается ��ля ��б��ода ��а��людения ��елостности, ��спользуемого ��екоторыми ��нсталляторами.

��ез ��омнения, ��аспространение ��о��обного ��ируса ��ызвало ��еспокойство ��реди ��о��ьзователей ��оответствующих P2P ��етей. ��днако ��б��ащает ��а ��обственные ��лечи ��нимание ��овольно ��юбопытное ��б��тоятельство .