Разделы

|

Появился первый вирус-шпион

Появился новый неопасный нерезидентный полиморфный вирус, заражающий файлы в формате PortableExecutable (исполняемые файлы для MS Windows 95/98/NT). При заражении вирус Win32.Parvo.13857 не изменяет стартовый адрес программы, внедряет в точку вход до 256 байт полиморфного кода, одна из инструкций которого передает управление основному вирусному коду, который записывается в последнюю сегментную секцию инфицированной программы. Вирус заражает только 15 определенных программ, которые он определяет по 32-разрядной контрольной сумме их имен. Ими являются файлы с именами CUTFTP32.EXE, IEXPLORE.EXE, INSTALL.EXE, INSTALAR.EXE, MSIMN.EXE, NETSCAPE.EXE, NOTEPAD. EXE, NTBACKUP.EXE, ORDER.EXE, RASMON.EXE, SETUP.EXE, TELNET.EXE, WAB.EXE, WABMIG.EXE и WINZIP32.EXE. Признаком заражения для Win32.Parvo.13857 является длина файла, кратная 101. После заражения файлов в текущем каталоге диска, в каталоге \WINDOWS и в \WINDOWS\SYSTEM он приступает к заражению удаленных компьютеров. Вирус загружает в память два системных модуля WSOCK32.DLL и RASAPI32.DLL, отвечающих за работу удаленного доступа компьютера, и определяет 10 адресов процедур для WSOCK32.DLL и 3 адрес процедур для RASAPI32.DLL. После чего вирус детектирует наличие сервиса удаленного доступа компьютера (например, модемной связи с узлом Интернет). Если так я связь существует, вирус пытается установить соединение по протоколу NNTP с одним из двух серверов новостей (news-servers), находящихся в Испании (DNS этих серверов присутствуют в теле вируса). Когда соединение установлено, вирус запрашивает у сервера заголовок первой статьи случайно выбранной им конференции из определенного списка. Далее вирус устанавливает связь по протоколу SMTP с одним из шести определенных в теле вируса почтовых серверов (mail-servers), пытается отправить письмо с собственным дроппером тому пользователю, имя, которого вирус выяснил при общении с сервером новостей. После удачной или неудачной попытки отправить свою копию по сети, вирус выгружает модули WSOCK32.DLL и RASAPI32.DLL, но тут же их опять загружает, снова определяет необходимые для него адреса все тех же процедур и пытается соединиться опять же по протоколу SMTP с одним из шести почтовых серверов, чтобы отправить на один из адресов данные о последнем соединении инфицированного компьютера. Очевидно, что все эти адреса принадлежат создателю вируса. Итак, вирус отправляет своему "хозяину" письмо, и в результате тот может получить бесплатный доступ, соединившись с провайдером пользователя под его именем с его паролем. А также может получить доступ к компьютеру пользователя.
Впрочем, не все так страшно. Для работы с сетью вирус проверяет версию модуля WSOCK32.DLL, и если он не совпадает с запрашиваемой, то вирус не устанавливает соединения с серверами. Кроме того, работа с двумя испанскими серверами новостей по протоколу NNTP из России невозможна: они фильтруют приходящие к ним запросы и разрешают работать только испанским пользователям. Детектирование данного вируса уже вставлено в очередной файл-дополнение к DrWeb компании "ДиалогНаука", которое готовится к выпуску в ближайшие дни.

Александр  Крылов, «Штурвал»: «Ванильный» Kubernetes больше не нужен

Маркет

Подписаться на новости Короткая ссылка


Другие материалы рубрики

Михаил Егоров, «АйДи — Технологии управления»: Система электронного документооборота сегодня – это по сути интеллектуальный помощник

В России новые массовые увольнения ИТ-специалистов: теперь в «Делимобиле». Работу им найти будет трудно

Какие ИТ-системы востребованы российскими строительными компаниями

Системный интегратор с боем получил три госконтракта, пригрозив срывом работы ВКС в российских судах

Василий Саутин, Т1: Процессы DevSecOps в каждой индустрии необходимо выстраивать по-разному

Против воли пользователей в Windows включили сомнительную функцию. Она тормозит ПК, разряжает батарею и почти никому не нужна

Конференции

Миграция в облако

Business Process Management 2026

Технологии искусственного интеллекта 2026
Показать еще

CNewsMarket

BaaS

Выбрать тариф для резервного копирования данных

От 0.03 руб./месяц

CRM

Подобрать CRM-систему для компании

От 1 000 руб./месяц

СЭД

Подобрать систему электронного документооборота СЭД (ECM)

От 1 360 руб./месяц

Colocation

Подобрать ЦОД для размещения ИТ-оборудования

От 815 руб./месяц

Техника

Взрывоопасные гаджеты: 10 случаев ожогов и смертей от смартфонов

Лучшая бытовая техника для уборки дома в 2025 году: выбор ZOOM

Обзор умной зубной щетки Oclean X Ultra 20 Set: искусственный интеллект на страже здоровья зубов

Показать еще

Наука

Новое исследование показывает, почему время течет быстрее с возрастом

Ледяная поверхность Титана нарушает фундаментальное правило химии, зато проливает свет на зарождение жизни на Земле

Ученые используют ген долголетия, который есть у людей старше 100 лет, чтобы замедлить быстрое старение
Показать еще