BRAMA
  UKRAINEWSTAND
Home - NEWS - Weather - Biz - Sports - Press - Calendar - Classifieds

  УКРАІНОВИНИ
Home - НОВИНИ - Погода - Ділове - Спорт - Прес - Календар - Оголошення
buy visitors



Поступ головна сторінка, Postup HOMEPAGE

| Головна сторінка | INDEX |

Magistr: суміш вірусу і мережевого хробака

НОВИНИ З ПАВУТИНИ


Magistr: суміш вірусу і мережевого хробака

Magistr проникає до комп’ютера переважно трьома способами. По-перше, через електронну пошту, якщо користувач запустив інфікований вкладений файл. По-друге, через локальну мережу. По-третє, в процесі обміну файлами з допомогою мобільних накопичувачів. Відразу ж після запуску інфікованого файла вірус ініціює процедуру впровадження в систему розсилки і, через певний час, активізує вбудовані деструктивні дії.

Для проведення розсилки електронною поштою Magistr сканує бази даних поштових програм Outlook Express, Netscape Messenger, Internet Mail, а також адресну книгу Windows. Дані про дислокацію поштових баз і їх імена вірус записує в спеціальний файл з розширенням .dat. Ім’я цього файла створюється шляхом шифрування імені комп’ютера. Наприклад, якщо комп’ютер має мережеве ім’я CS-GOAT, то файл буде називатися WG-SKYF.DAT. Залежно від першого символу імені DAT-файла він вміщується в кореневий каталог диска С: або директорії Windows чи Program Files. Після цього він шукає адресу SMTP-сервера і від імені користувача посилає через нього електронні повідомлення, що містять інфіковані файли, випадково взяті із зараженого комп’ютера. Заголовки повідомлень вибираються випадково зі знайдених на комп’ютері файлів .doc і .txt, або зі списку стандартних фраз англійською, французькою чи іспанською, що міститься в тілі вірусу.

Повідомлення не містять жодних текстів. До листа додаються файли, випадково вибрані на комп’ютері, з розширеннями .exe або .scr, розміром менше 132 КВ.
Така динамічність зовнішніх ознак істотно ускладнює ідентифікацію користувачами заражених листів.

Після запуску Magistr заражає всі файли форматів .pe, .exe і .scr в каталогах Windows, WinNT, Win95 і Win98 усіх локальних дисків. Після цього він сканує всі доступні мережеві ресурси і знов шукає ті ж каталоги і заражає виявлені там файли. У процесі впровадження в файли вірус використовує низку надзвичайно складних методів, що значно ускладнює процедуру його виявлення і видалення. Для цього тіло вірусу ділиться на три частини, дві з яких шифруються поліморфним кодом. Таким чином, після запуску зараженого файла, вірус перехоплює його виконання в точці входу й переадресовує обробник на код вірусу. І тільки після закінчення виконання основного коду вірусу управління знов передається оригінальній програмі. Для забезпечення своєї постійної присутності в системі Magistr модифікує конфігураційний файл Windows WIN.INI і системний реєстр таким чином, що вірус активізується кожний раз при запуску операційної системи.

При зараженні мережевих ресурсів вірус модифікує тільки WIN.INI. Magistr має дуже небезпечну деструктивну функцію. Через
1 місяць після зараження комп’ютерів під Windows NT/2000 вірус знищує всі файли на локальних і мережевих дисках, записуючи в них фразу YOUARESHIT. На додачу, на комп’ютерах зі встановленою Windows 95/98/ME вірус скидає дані в пам’яті CMOS (CMOS містить апаратні параметри завантаження комп’ютера) та, як і “Чорнобиль” (CIH), знищує інформацію, підшиту в мікросхему FLASH BIOS. Після цього він показує таке повідомлення: Another haughty bloodsucker....... YOU THINK YOU ARE GOD, BUT YOU ARE ONLY А CHUNK OF SHIT. Крім того, залежно від низки умов, вірус запускає ще одну процедуру, що викликає ефект “утікаючих іконок”: при установці курсора миші на якій-небудь іконці робочого стола вона тут же міняє своє місцеположення, так що користувач не в змозі запустити відповідну програму. Фахівці характеризують вірус як надзвичайно небезпечний гібрид ILOVEYOU та сумновідомого WIN95.CIH, від якого, до речі, у квітні 1999 року “гавкнуло” 85% машин в редакції улюбленої газети всіх львів’ян ;о).

Б. Г.

POSTUP - ПОСТУП



ПЕРША СТОРІНКА
·Цитата Поступу
·Квіти для Юлії
·Місія Євгена Марчука

ПОГЛЯД
·Гладій радіє з повернення
·За житло платитимемо по-новому?
·Тіні забутих предків

ПОСТУП У ЛЬВОВІ
·"Львівводоканал" припустився помилок
·УСБУ очолив Ваврик
·Прем"єр-міністр зустрівся з учителями
·Народний рух України приймає партійних біженців
·На один день Сихів стане молодіжним центром
·КРИМІНАЛЬНА ХРОНІКА

ПОСТУП З КРАЮ
·Роднянський переїжджає до Москви?
·Реванш опонентів Кучми
·Бондарю можуть пред"явити нові звинуаченя
·Олександр Мороз: Я готовий поклястися на Біблії
·Леоніда Кучму затиснули ультиматумами

ПОСТУП У СВІТ
·СВІТООГЛЯД
·У Кеннеді стріляло щонайменше двоє
·Ящур потрапив з Далекого Сходу?
·Представника Масхадова прийняли у Вашингтоні

КРИМІНАЛЬНИЙ ПОСТУП
·Криваві порахунки
·Підлітки убили свого друга
·Родина шулерів

ЛЬВІВСЬКІ ОБСЕРВАЦІЇ
·ЛЬВІВСЬКІ ОБСЕРВАЦІЇ

ПОСТУП КОМП"ЮТЕРНИХ ТЕХНОЛОГІЙ
·Magistr: суміш вірусу і мережевого хробака
·Знущаємося над MS Windows 98
·MechCommander 2: мрія ідіота
·PCNEWS

АРТ-ПОСТУП
·Історія про те, як на наші голови валиться історія
·Метафізика одягу сцени
·Велике плавання малого корабля

СПОРТ-ПОСТУП
·Яка гра, такий і результат
·Відбірковий матч Україна - Вірменія може відбутися не у Львові
·Українська "молодіжка" свою справу зробила
·СПОРТ-БЛІЦ
·Нецікавий десятий "Амбер"

ПОСТ-FACTUM
·КАЛЕНДАР
·У Римі пройшли покази колекцій haute couture