Новые опасные версии вируса обнаружены "в диком виде". "Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, предупреждает пользователей об обнаружении нового Интернет червя Hybris. Сообщения об обнаружении этого вируса "в диком виде" поступают в...
Новые опасные версии вируса обнаружены "в диком виде".
"Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, предупреждает пользователей об обнаружении нового Интернет червя Hybris. Сообщения об обнаружении этого вируса "в диком виде" поступают в Лабораторию практически со всего мира. Особая активность его распространения отмечена в странах Латинской Америки, Испании и Португалии. Также засвидетельствованы случаи заражения в России и на Украине.
Первая версия этого Интернет червя была обнаружена "Лабораторией Касперского" и рядом других разработчиков антивирусного ПО еще в конце сентября и была отнесена к разряду вирусов с низким уровнем опасности. Однако за последние несколько дней на компанию обрушилась лавина сообщений от пользователей, ставших жертвами новых версий вируса. В настоящий момент Лаборатории известно пять разновидностей Hybris, и не исключено, что в ближайшее время будут обнаружены его новые версии.
Интернет червь Hybris распространяется при помощи зараженных электронных писем и работает под MS Windows . К письму прикреплен файл, запуск которого заражает компьютер. Процесс заражения достаточно типичен и, по сути, происходит по аналогии с действиями таких известных вирусов как Happy и MTX.
Для своего дальнейшего распространения червь заражает WSOCK32.DLL (библиотеку сетевых функций), а кроме того, перехватывает функции работы с Интернет, сканирует принимаемые и отправляемые данные, ищет в них адреса электронной почты и через некоторое время отправляет свои копии по этим адресам. При этом, поле заголовка письма, текста и имя файла-вложения выбирается случайным образом, например,
From: Hahaha hahaha@sexyfun.net
Subject: Snowhite and the seven Dwarfs - The REAL Story!
Attachment: dwarf4you.exe
Однако данный червь имеет и ряд специфических черт. Hybris содержит в себе специальные подпрограммы-компоненты (плагины) и выполняет их по мере необходимости. Функциональность червя во многом определяется именно этими подпрограммами. Они хранятся в теле червя в зашифрованном виде, при этом используется сильный алгоритм шифрования.
Основная же специфика вируса, пожалуй, в том, что Hybris поддерживает функцию обмена плагинами: отправляет имеющиеся у него подпрограммы в антивирусную конференцию "alt.comp.virus" и скачивает оттуда недостающие или более "свежие". Кроме того, плагины могут обновляться червем с Интернет-страницы автора вируса. Обнаруженные в известных версиях и на сайте плагины достаточно безобидны и не наносят прямого ущерба пользователю. Однако, будучи обновленными из Интернета, могут приобрести совершенно иные функции - например, установить на компьютере троянскую программу типа backdoor. И хотя практика знает случаи обновления вредоносной программы через Интернет, это - первый случай широкомасштабного распространения подобного вируса "в диком виде".
"Мы имеем дело, пожалуй, с наиболее сложной и изощренной вредоносной программой за всю историю вирусописания, - комментирует Евгений Касперский, глава антивирусной Лаборатории, - Во-первых, ее отличает исключительный по сложности стиль программирования. Во-вторых, плагины зашифрованы достаточно сильным криптографическим алгоритмом RSA со 128-битным ключом. В-третьих, сами плагины дают возможность автору вируса модифицировать свое творение в режиме реального времени и фактически позволяют контролировать зараженные машины во всем мире".
Процедуры защиты от червя Hybris и его вариантов, известных на сегодняшний день уже добавлены в антивирусные базы Антивируса Касперского™ (AVP).
