Dr.Web защищает пиринговые сети от Win32.Polipos

ПредыдущаяСледующая
1174

Служба вирусного мониторинга компании «Доктор Веб» информирует всех пользователей пиринговых сетей об опасном полиморфном вирусе Win32.Polipos, который уже в течение целого месяца распространяется по различным пиринговым сетям.

Началось распространение Win32.Polipos в марте этого года. Тогда же (20 марта) он был добавлен в вирусную базу антивируса Dr.Web и с этого момента для пользователей он не представлял никакой угрозы. Помимо сложного полиморфного механизма, реализованного в вирусе, в нем содержалась и опасная функция "нейтрализации" целого ряда антивирусных программ и прочих средств безопасности. С легкостью распространяясь по P2P-сетям, вирус проникает на подключенные машины, и, будучи запущенным, скрытно делает их участниками общедоступной P2P-сети.

Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы "покрывая тело файла-жертвы собственными пятнами". При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код, сдвигая секцию ресурсов - при ее наличии - "вниз". При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным образом, стартовым адресом вируса.

При запуске вирус внедряет свой код во все запущенные процессы. Исключение составляют процессы со следующими именами: savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll, smss, csrss, spoolsv, ctfmon, temp. Таким образом, в памяти оказываются несколько копий вируса, каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и пр. Зараженные файлы становятся общедоступными для участников этой сети.

Резидентные копии Win32.Polipos перехватывают следующие API функции: ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW. При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве с оверлеями (sfx-архивы, файлов инсталляции и т.п.) вирус пытается создать оригинальную копию файла во временном каталоге с именем ptf*.tmp, которую и запускает. Это делается для обхода контроля целостности, используемого некоторыми инсталляторами.

Безусловно, распространение подобного вируса вызвало беспокойство среди пользователей соответствующих P2P сетей. Однако обращает на себя внимание довольно любопытное обстоятельство. Несмотря на то, что присутствие в P2P-сетях Win32.Polipos не является ни для кого новостью уже около месяца, антивирус Dr.Web до последних дней был единственным, кто его детектировал.

В самом начале эпидемии пользователи Dr.Web сетовали на срабатывание антивируса на якобы чистые файлы, но вирусные аналитики компании «Доктор Веб» подтвердили факт существования именно нового вируса. Успешное детектирование различных вариантов этого сложного полиморфика возможно благодаря высокому технологическому уровню антивирусного ядра Dr.Web.

В настоящее время Служба вирусного мониторинга компании «Доктор Веб» разработала и процедуру лечения зараженных вирусом Win32.Polipos файлов. Сделано это, в частности, по просьбам тех пользователей, чьи антивирусные программы до сих пор не детектируют этот вирус и позволяют ему беспрепятственно заражать файлы на, казалось бы, защищенных компьютерах. Механизм лечения довольно сложен, поскольку требует обработки сложного криптоалгоритма XTEA, поэтому порой на дешифровку кода вируса может уходить довольно значительное (по компьютерным меркам) время. Для лечения зараженных файлов не требуется скачивания никаких дополнительных утилит - все осуществляется средствами самого антивируса Dr.Web при условии своевременного обновления вирусных баз.

24 апреля 2006 Г.

16:55

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Смартфон BlackBerry KeyTwo с 6 ГБ ОЗУ замечен в GeekBench: Все указывает на то, что это преемник BlackBerry Keyone

Uber заплатила хакерам $100 тыс., чтобы скрыть факт кражи данных 50 млн пользователей: Инцидент произошел в октябре прошлого года1

Ноутбук Asus ROG Strix GL702ZC, оснащенный CPU AMD Ryzen 7 1700 и GPU AMD Radeon RX 580, оценен в $1500: Asus ROG Strix GL702ZC можно заказать в США и в Великобритании2

Ноутбук Microsoft Surface Book 2 в играх разряжается, даже будучи подключенным к розетке: Ноутбук Microsoft Surface Book 2 не подходит в качестве геймерского решения12

Apple купила компанию Vrvana, которая специализируется на технологиях дополненной реальности: Технологии Vrvana могут быть использованы Apple при создании своей собственной гарнитуры или очков дополненной реальности3

Смартфон Xiaomi Mi Mix 3 может получить два экрана, один из которых будет занимать всю лицевую панель: Прототип, определенно, заслуживает внимания5

Xiaomi перестанет обновлять прошивки шести смартфонов, но старые модели: Xiaomi «снимет с довольствования» модели Mi 2/2S, Mi 4i, Redmi Note 4G, Redmi 2, Redmi 2 Prime и Mi Note5

Foxconn снова использовала детский труд для сборки смартфонов Apple: В сборке iPhone X на фабрике Foxconn участвовало 3000 школьников36

Показатели Compal, Foxconn и Inventec будут расти благодаря спросу на умные АС: Inventec уже заявила, что планирует прекратить принимать заказы на производство товаров с низкой маржой

Дизайн смартфона Samsung Galaxy S9 раскрыл производитель чехлов: Первое изображение чехла для Samsung Galaxy S9 указывает на наличие разъёма для наушников6

Samsung улучшит работу сканера радужной оболочки глаза и системы распознавания лиц, но лишь на уровне ПО: Samsung хочет улучшить работу своих биометрических систем идентификации11

В Корее началась программа Upgrade to Galaxy, которая позволяет желающим опробовать Galaxy S8 и Note 8: Плата за месячный тест-драйв составит 45 долларов3

Xiaomi открыла третью фабрику в Индии: В данный момент каждую минуту завод выпускает по 7 аккумуляторов

Meizu может отказаться от использования дополнительного дисплея в своих смартфонах: Кроме того, новинка должна получить дисплей с соотношением сторон 18:9 и узкими рамками вокруг экрана1

Чтобы купить Qualcomm компании Broadcom нужно увеличить своё предложение «всего» на 10 долларов за акцию: При цене в 80 долларов за акцию компания Qualcomm согласится на сделку с Broadcom

30 ноября Samsung Bixby получит поддержку третьего языка: О поддержке русского речь пока не идет

Adata XPG Storm — активная система охлаждения для SSD формата M.2, оснащённая вентилятором с огромной скоростью вращения: СО Adata XPG Storm получила вентилятор и подсветку RGB4

Сервер HPE ProLiant DL385 Gen10 с процессорами AMD Epyc установил два новых мировых рекорда: AMD хвастает достижениями серверов на базе её CPU Epyc2

997
1318

iXBT TV

  • Обзор материнской платы Z370 Aorus Gaming 7 под процессоры Coffee Lake

  • Обзор аккумуляторной дрели-шуруповерта Bosch GSR 12V-15 FC Professional

  • Заводские экзоскелеты, обновление Firefox, слишком умные наушники

  • Репортаж с конференции Supercomputing 2017 (SC17), день 3: стенд группы компаний РСК

  • Репортаж с конференции Supercomputing 2017 (SC17), день 2: стенд Intel

  • Репортаж с конференции Supercomputing 2017 (SC17), день 1: рейтинг Top500

  • Обзор кинотеатрального DLP-проектора LG PF1000U со встроенным ТВ-тюнером

  • Камера Panasonic G9, унитазный робот, игровой смартфон, кепка для водителей

  • Обзор портативной беспроводной колонки Sven PS-460

  • Обзор напольного пылесоса Tefal Silence Force 4A TW6477 с одноразовыми мешками для сбора мусора

  • Обзор сверхширокоугольного зум-объектива Canon EF 16-35mm f/2.8L III USM

  • Обзор изогнутого 34-дюймового IPS-монитора LG 34UC99 с соотношением сторон 21:9 и белым корпусом

1212

Календарь

апрель
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать