Разделы

|

Появился первый вирус-шпион

Появился новый неопасный нерезидентный полиморфный вирус, заражающий файлы в формате PortableExecutable (исполняемые файлы для MS Windows 95/98/NT). При заражении вирус Win32.Parvo.13857 не изменяет стартовый адрес программы, внедряет в точку вход до 256 байт полиморфного кода, одна из инструкций которого передает управление основному вирусному коду, который записывается в последнюю сегментную секцию инфицированной программы. Вирус заражает только 15 определенных программ, которые он определяет по 32-разрядной контрольной сумме их имен. Ими являются файлы с именами CUTFTP32.EXE, IEXPLORE.EXE, INSTALL.EXE, INSTALAR.EXE, MSIMN.EXE, NETSCAPE.EXE, NOTEPAD. EXE, NTBACKUP.EXE, ORDER.EXE, RASMON.EXE, SETUP.EXE, TELNET.EXE, WAB.EXE, WABMIG.EXE и WINZIP32.EXE. Признаком заражения для Win32.Parvo.13857 является длина файла, кратная 101. После заражения файлов в текущем каталоге диска, в каталоге \WINDOWS и в \WINDOWS\SYSTEM он приступает к заражению удаленных компьютеров. Вирус загружает в память два системных модуля WSOCK32.DLL и RASAPI32.DLL, отвечающих за работу удаленного доступа компьютера, и определяет 10 адресов процедур для WSOCK32.DLL и 3 адрес процедур для RASAPI32.DLL. После чего вирус детектирует наличие сервиса удаленного доступа компьютера (например, модемной связи с узлом Интернет). Если так я связь существует, вирус пытается установить соединение по протоколу NNTP с одним из двух серверов новостей (news-servers), находящихся в Испании (DNS этих серверов присутствуют в теле вируса). Когда соединение установлено, вирус запрашивает у сервера заголовок первой статьи случайно выбранной им конференции из определенного списка. Далее вирус устанавливает связь по протоколу SMTP с одним из шести определенных в теле вируса почтовых серверов (mail-servers), пытается отправить письмо с собственным дроппером тому пользователю, имя, которого вирус выяснил при общении с сервером новостей. После удачной или неудачной попытки отправить свою копию по сети, вирус выгружает модули WSOCK32.DLL и RASAPI32.DLL, но тут же их опять загружает, снова определяет необходимые для него адреса все тех же процедур и пытается соединиться опять же по протоколу SMTP с одним из шести почтовых серверов, чтобы отправить на один из адресов данные о последнем соединении инфицированного компьютера. Очевидно, что все эти адреса принадлежат создателю вируса. Итак, вирус отправляет своему "хозяину" письмо, и в результате тот может получить бесплатный доступ, соединившись с провайдером пользователя под его именем с его паролем. А также может получить доступ к компьютеру пользователя.
Впрочем, не все так страшно. Для работы с сетью вирус проверяет версию модуля WSOCK32.DLL, и если он не совпадает с запрашиваемой, то вирус не устанавливает соединения с серверами. Кроме того, работа с двумя испанскими серверами новостей по протоколу NNTP из России невозможна: они фильтруют приходящие к ним запросы и разрешают работать только испанским пользователям. Детектирование данного вируса уже вставлено в очередной файл-дополнение к DrWeb компании "ДиалогНаука", которое готовится к выпуску в ближайшие дни.
От продажи «коробки» к гарантированному результату: как меняются запросы рынка
Цифровизация

Подписаться на новости Короткая ссылка


Другие материалы рубрики

Как система класса ITAM помогает навести порядок в ИТ-активах

RuTube занялся технологическими разработками и научился обходиться без «Яндекс» и Google

Эксперты:  IBP-системы повышают точность прогноза спроса на 15-30 процентов

В России резко выросло число банкротств ИT-компаний

Вышла Postgres Pro Enterprise 17.6 со значимыми улучшениями для «1С»

Конференция CNews «Унифицированные коммуникации 2026» состоится 2 апреля

Конференции

Миграция в облако

Business Process Management 2026

Технологии искусственного интеллекта 2026
Показать еще

CNewsMarket

ERP

Подобрать тариф на IP-телефонию и виртуальную АТС

От 1 046 руб./месяц

Онлайн-бухгалтерия

Выбрать тариф на онлайн-бухгалтерию

От 1 300 руб./месяц

DBaaS

Выбрать тариф на облачную базу данных

От 0.80 руб./месяц

Kubernetes

Рассчитать стоимость кластеров Kubernetes

От 0.52 руб./месяц

Техника

Взрывоопасные гаджеты: 10 случаев ожогов и смертей от смартфонов

Лучшая бытовая техника для уборки дома в 2025 году: выбор ZOOM

Обзор умной зубной щетки Oclean X Ultra 20 Set: искусственный интеллект на страже здоровья зубов

Показать еще

Наука

Новое исследование показывает, почему время течет быстрее с возрастом

Ледяная поверхность Титана нарушает фундаментальное правило химии, зато проливает свет на зарождение жизни на Земле

Ученые используют ген долголетия, который есть у людей старше 100 лет, чтобы замедлить быстрое старение
Показать еще