Magistr: суміш вірусу і мережевого хробака
НОВИНИ З ПАВУТИНИ
Magistr: суміш вірусу і мережевого хробака
Magistr проникає до комп’ютера переважно трьома способами. По-перше, через електронну пошту, якщо користувач запустив інфікований вкладений файл. По-друге, через локальну мережу. По-третє, в процесі обміну файлами з допомогою мобільних накопичувачів. Відразу ж після запуску інфікованого файла вірус ініціює процедуру впровадження в систему розсилки і, через певний час, активізує вбудовані деструктивні дії.
Для проведення розсилки електронною поштою Magistr сканує бази даних поштових програм Outlook Express, Netscape Messenger, Internet Mail, а також адресну книгу Windows. Дані про дислокацію поштових баз і їх імена вірус записує в спеціальний файл з розширенням .dat. Ім’я цього файла створюється шляхом шифрування імені комп’ютера. Наприклад, якщо комп’ютер має мережеве ім’я CS-GOAT, то файл буде називатися WG-SKYF.DAT. Залежно від першого символу імені DAT-файла він вміщується в кореневий каталог диска С: або директорії Windows чи Program Files. Після цього він шукає адресу SMTP-сервера і від імені користувача посилає через нього електронні повідомлення, що містять інфіковані файли, випадково взяті із зараженого комп’ютера. Заголовки повідомлень вибираються випадково зі знайдених на комп’ютері файлів .doc і .txt, або зі списку стандартних фраз англійською, французькою чи іспанською, що міститься в тілі вірусу.
Повідомлення не містять жодних текстів. До листа додаються файли, випадково вибрані на комп’ютері, з розширеннями .exe або .scr, розміром менше 132 КВ.
Така динамічність зовнішніх ознак істотно ускладнює ідентифікацію користувачами заражених листів.
Після запуску Magistr заражає всі файли форматів .pe, .exe і .scr в каталогах Windows, WinNT, Win95 і Win98 усіх локальних дисків. Після цього він сканує всі доступні мережеві ресурси і знов шукає ті ж каталоги і заражає виявлені там файли. У процесі впровадження в файли вірус використовує низку надзвичайно складних методів, що значно ускладнює процедуру його виявлення і видалення. Для цього тіло вірусу ділиться на три частини, дві з яких шифруються поліморфним кодом. Таким чином, після запуску зараженого файла, вірус перехоплює його виконання в точці входу й переадресовує обробник на код вірусу. І тільки після закінчення виконання основного коду вірусу управління знов передається оригінальній програмі. Для забезпечення своєї постійної присутності в системі Magistr модифікує конфігураційний файл Windows WIN.INI і системний реєстр таким чином, що вірус активізується кожний раз при запуску операційної системи.
При зараженні мережевих ресурсів вірус модифікує тільки WIN.INI. Magistr має дуже небезпечну деструктивну функцію. Через
1 місяць після зараження комп’ютерів під Windows NT/2000 вірус знищує всі файли на локальних і мережевих дисках, записуючи в них фразу YOUARESHIT. На додачу, на комп’ютерах зі встановленою Windows 95/98/ME вірус скидає дані в пам’яті CMOS (CMOS містить апаратні параметри завантаження комп’ютера) та, як і “Чорнобиль” (CIH), знищує інформацію, підшиту в мікросхему FLASH BIOS. Після цього він показує таке повідомлення: Another haughty bloodsucker....... YOU THINK YOU ARE GOD, BUT YOU ARE ONLY А CHUNK OF SHIT. Крім того, залежно від низки умов, вірус запускає ще одну процедуру, що викликає ефект “утікаючих іконок”: при установці курсора миші на якій-небудь іконці робочого стола вона тут же міняє своє місцеположення, так що користувач не в змозі запустити відповідну програму. Фахівці характеризують вірус як надзвичайно небезпечний гібрид ILOVEYOU та сумновідомого WIN95.CIH, від якого, до речі, у квітні 1999 року “гавкнуло” 85% машин в редакції улюбленої газети всіх львів’ян ;о).
Б. Г.
|
|
