Magistr: рецепт приготовления смеси вируса и сетевого червя, приправленной многоуровневым полиморфизмом

"Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, предупреждает пользователей об обнаружении нового компьютерного вируса "Magistr", распространяющегося по электронной почте и ресурсам локальных сетей и использующего крайне сложные технологии сокрытия своего присутствия на зараженных системах. Судя по комментариям в коде вируса, он создан неким шведским хакером по кличке "The Judges Disemboweler".

Лаборатория Касперского уже получила несколько сообщений о фактах обнаружения вируса в "диком" виде.

"Magistr" может проникнуть в компьютер тремя основными способами. Во-первых, через письма электронной почты, в случае если пользователь запустил зараженный вложенный файл. Во-вторых, через локальную сеть, заражая файлы на доступных ресурсах серверов и других компьютеров. В-третьих, в процессе обмена файлами с использованием мобильных накопителей.

Сразу же после запуска инфицированного файла, вирус инициирует процедуру внедрения в систему, рассылки и, через определенное время, активизирует встроенные деструктивные действия.

Для проведения рассылки по электронной почте, "Magistr" сканирует базы данных почтовых программ Outlook Express, Netscape Messenger, Internet Mail, а также адресную книгу Windows и считывает оттуда все электронные адреса. Данные о местоположении почтовых баз и их именах вирус записывает в специальный файл с расширением DAT. Имя этого файла получается путем шифрования имени компьютера. Например, если компьютер имеет сетевое имя CS-GOAT, то файл будет называться WG-SKYF.DAT. В зависимости от первого символа имени DAT-файла он помещается в корневой каталог диска C: или директории "Windows" или "Program Files".

После этого он незаметно считывает адрес используемого компьютером SMTP-сервера и от имени пользователя отсылает через него электронные сообщения, содержащие зараженные файлы, случайно взятые с зараженного компьютера. Заголовки сообщений случайным образом выбираются либо из найденных на компьютере DOC и TXT файлов, либо из содержащегося в теле вируса списка стандартных фраз на английском, французском и испанском языках. Сообщения содержат случайные тексты, взятые из случайных файлов на диске. В качестве вложенных файлов вирус использует случайно выбранный на компьютере PE EXE или SCR файл длиной меньше 132 Кб. Подобная неустойчивость внешних признаков существенно затрудняет идентификацию пользователями зараженных писем.

В 1 случае из 5 "Magistr" прикрепляет к рассылаемым письмам DOC или TXT файлы, которые были найдены в процессе поиска исходных текстов для заголовка и тела письма. Таким образом, вирус может незаметно отправить с зараженного компьютера конфиденциальную информацию.

Важно отметить, что в процессе рассылки инфицированных писем, вирус случайным образом искажает адрес отправителя (удаляет или заменяет некоторые буквы). Это обстоятельство также способствует сокрытию вирусной активности на зараженном компьютере, поскольку его владелец во многих случаях не сможет получить ответ от получателя с подтверждением о прочтении файла или вопросом о его содержании: при попытке ответить письмо будет автоматически адресовано на несуществующий адрес.

После запуска "Magistr" заражает все файлы форматов PE EXE и SCR в каталогах "Windows", "WinNT", "Win95" и "Win98" всех локальных дисков. После этого он сканирует все доступные сетевые ресурсы и снова ищет те же каталоги и заражает обнаруженные там файлы. В процессе внедрения в файлы вирус использует ряд исключительно сложных методов, что значительно осложняет процедуру его обнаружения и удаления. Для этого тело вируса разделяется на три части, две из которых шифруются полиморфным кодом, так что зараженный файл выглядит следующим образом:

Таким образом, после запуска зараженного файла, вирус перехватывает его выполнение в точке входа и переадресовывает обработчик на код вируса. И только после окончания выполнения основного кода вируса управление снова передается оригинальной программе.

Для обеспечения своего постоянного присутствия в системе, "Magistr" модифицирует конфигурационный файл Windows WIN.INI и системный реестр таким образом, что вирус активизируется каждый раз при запуске операционной системы. При заражении сетевых ресурсов вирус модифицирует только WIN.INI.

"Magistr" содержит исключительно опасную деструктивную функцию. Через 1 месяц после заражения компьютеров под управлением Windows NT/2000 вирус уничтожает все файлы на локальных и сетевых дисках, записывая в них фразу "YOUARESHIT". В дополнение к этому, на компьютерах с установленной Windows 95/98/ME вирус сбрасывает данные в памяти CMOS (CMOS содержит аппаратные параметры загрузки компьютера) и, подобно вирусу "Чернобыль" (CIH), уничтожает содержимое микросхемы FLASH BIOS. После этого он показывает следующее сообщение:

Another haughty bloodsucker.......
YOU THINK YOU ARE GOD ,
BUT YOU ARE ONLY A CHUNK OF SHIT

Кроме того, в зависимости от ряда условий, вирус запускает еще одну процедуру, вызывающую эффект "убегающих иконок": при установке указателя мыши на какой-либо иконке рабочего стола она тут же меняет свое местоположение, так что пользователь не в состоянии запустить соответствующую ей программу:

"В данном случае мы имеем дело с весьма сложным и технологически продвинутым вирусом, впитавшем в себя все наиболее эффективные методы распространения, заражения, маскировки и самые опасные деструктивные функции, - комментирует Денис Зенкин, руководитель информационной службы Лаборатории Касперского, - По сути дела, Magistr - это результат успешного скрещивания бешеной скорости распространения вируса "ILOVEYOU" и разрушительного воздействия "Чернобыля".

Учитывая опасность и быстрое распространение вируса "Magistr" Лаборатория Касперского рекомендует пользователям немедленно обновить базы данных Антивируса Касперского, куда уже внесены процедуры защиты от данного вируса.

Вы можете приобрести Антивирус Касперского в центральном офисе "Лаборатории Касперского", у официальных партнеров компании или в российских Интернет-магазинах.