Разделы

|

Появился первый вирус-шпион

Появился новый неопасный нерезидентный полиморфный вирус, заражающий файлы в формате PortableExecutable (исполняемые файлы для MS Windows 95/98/NT). При заражении вирус Win32.Parvo.13857 не изменяет стартовый адрес программы, внедряет в точку вход до 256 байт полиморфного кода, одна из инструкций которого передает управление основному вирусному коду, который записывается в последнюю сегментную секцию инфицированной программы. Вирус заражает только 15 определенных программ, которые он определяет по 32-разрядной контрольной сумме их имен. Ими являются файлы с именами CUTFTP32.EXE, IEXPLORE.EXE, INSTALL.EXE, INSTALAR.EXE, MSIMN.EXE, NETSCAPE.EXE, NOTEPAD. EXE, NTBACKUP.EXE, ORDER.EXE, RASMON.EXE, SETUP.EXE, TELNET.EXE, WAB.EXE, WABMIG.EXE и WINZIP32.EXE. Признаком заражения для Win32.Parvo.13857 является длина файла, кратная 101. После заражения файлов в текущем каталоге диска, в каталоге \WINDOWS и в \WINDOWS\SYSTEM он приступает к заражению удаленных компьютеров. Вирус загружает в память два системных модуля WSOCK32.DLL и RASAPI32.DLL, отвечающих за работу удаленного доступа компьютера, и определяет 10 адресов процедур для WSOCK32.DLL и 3 адрес процедур для RASAPI32.DLL. После чего вирус детектирует наличие сервиса удаленного доступа компьютера (например, модемной связи с узлом Интернет). Если так я связь существует, вирус пытается установить соединение по протоколу NNTP с одним из двух серверов новостей (news-servers), находящихся в Испании (DNS этих серверов присутствуют в теле вируса). Когда соединение установлено, вирус запрашивает у сервера заголовок первой статьи случайно выбранной им конференции из определенного списка. Далее вирус устанавливает связь по протоколу SMTP с одним из шести определенных в теле вируса почтовых серверов (mail-servers), пытается отправить письмо с собственным дроппером тому пользователю, имя, которого вирус выяснил при общении с сервером новостей. После удачной или неудачной попытки отправить свою копию по сети, вирус выгружает модули WSOCK32.DLL и RASAPI32.DLL, но тут же их опять загружает, снова определяет необходимые для него адреса все тех же процедур и пытается соединиться опять же по протоколу SMTP с одним из шести почтовых серверов, чтобы отправить на один из адресов данные о последнем соединении инфицированного компьютера. Очевидно, что все эти адреса принадлежат создателю вируса. Итак, вирус отправляет своему "хозяину" письмо, и в результате тот может получить бесплатный доступ, соединившись с провайдером пользователя под его именем с его паролем. А также может получить доступ к компьютеру пользователя.
Впрочем, не все так страшно. Для работы с сетью вирус проверяет версию модуля WSOCK32.DLL, и если он не совпадает с запрашиваемой, то вирус не устанавливает соединения с серверами. Кроме того, работа с двумя испанскими серверами новостей по протоколу NNTP из России невозможна: они фильтруют приходящие к ним запросы и разрешают работать только испанским пользователям. Детектирование данного вируса уже вставлено в очередной файл-дополнение к DrWeb компании "ДиалогНаука", которое готовится к выпуску в ближайшие дни.
Как с помощью ad-hoc инструмента снизить расходы на внедрение аналитики
Импортонезависимость

Подписаться на новости Короткая ссылка


Другие материалы рубрики

Больше общения и акцент на ИБ: как устроен гибридный офис

«Триколор» выпустит умные дом, кормушку и теплицу, работающие без интернета

Отказоустойчивый кластер Postgres Pro «из коробки»: как работает BiHA

Федеральное казначейство покупает на полмиллиарда СХД, совместимые с Yadro

Как автоматизировать учет персональных данных и избежать штрафов за их утечку

Российские тюремщики хотят за 470 миллионов разработать на СПО систему для хранения досье

MARKET.CNEWS

Kubernetes

Рассчитать стоимость кластеров Kubernetes

От 0.52 руб./месяц

VDI

Подобрать тариф на аренду виртуальных рабочих мест

От 1 750 руб./месяц

Colocation

Подобрать ЦОД для размещения ИТ-оборудования

От 815 руб./месяц

BaaS

Выбрать тариф для резервного копирования данных

От 0.03 руб./месяц

Техника

Hisense Laser Mini Projector C1 — новый эталон домашнего кинотеатра

Обзор моноблока MSI Pro AP272 13M: обойдемся без проводов

Организуем видеонаблюдение за дачным участком: лучшие готовые комплекты

Показать еще

Наука

Российские ученые открыли удивительные грязевые вулканы на дне Байкала

Робот-медуза с электронным кардиостимулятором исследует океан и сообщает о находках

На дне российской шахты найдены уникальные термиты — они сохранились в янтаре возрастом 38 миллионов лет
Показать еще
Российская неделя высоких технологий-2024. СВЯЗЬ-2024 Российская неделя высоких технологий-2024. СВЯЗЬ-2024