Все новости от 26 апреля 2006 г.

Пользователи зря не верили предупреждениям “Доктора Веба”

Служба вирусного мониторинга компании “Доктор Веб” информирует всех пользователей пиринговых сетей об опасном полиморфном вирусе Win32.Polipos, который уже более месяца распространяется по различным P2P-сетям и поражает исполняемые файлы Windows.

Вредоносное действие данного кода заключается в том, что заражённые им файлы без ведома их владельцев становятся общедоступными для пользователей пиринговых сетей.

При запуске вирус внедряет свой код во все запущенные процессы. Исключение почему-то составляют процессы с именами savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll, smss, csrss, spoolsv, ctfmon и temp. Таким образом, в памяти оказываются несколько копий вируса, каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P-сетями и т. д.

Резидентные копии Win32.Polipos перехватывают следующие API функции: ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW. При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве с оверлеями (sfx-архивы, файлов инсталляции и т. п.) вирус пытается создать оригинальную копию файла во временном каталоге с именем ptf*.tmp, которую и запускает. Это делается для обхода контроля целостности, используемого некоторыми инсталляторами.

Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы покрывая тело файла-жертвы собственными пятнами. При этом вирус создаёт новую секцию и размещает в ней свой основной зашифрованный код, сдвигая секцию ресурсов — при её наличии — “вниз”. При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным образом, стартовым адресом вируса.

Специалисты “Доктора Веба” утверждают, что данный вирус содержит функцию нейтрализации целого ряда антивирусных программ и прочих средств безопасности и характеризуется исключительно сложным полиморфным механизмом, сильно затрудняющим процесс обнаружения и лечения заражённых им файлов.

По их словам, несмотря на то, что присутствие Win32.Polipos в P2P-сетях не является ни для кого новостью уже более месяца, пакет Dr.Web до последних дней был единственным, кто его детектировал. Интересно отметить, что в самом начале эпидемии пользователи Dr.Web не верили предупреждениям данного антивируса и сетовали на то, что он якобы срабатывает на абсолютно чистые файлы. Важно отметить, что для лечения файлов, зараженных вирусом Win32.Polipos, не требуется скачивания никаких дополнительных утилит — всё осуществляется средствами самой программы Dr.Web. Разумеется, при условии своевременного обновления вирусных баз.