28 Августа 2003 11:08 28 Авг 2003 11:08 |

Поделиться

Вирусописатели увлеклись картографией

По данным «Лаборатории Касперского», вирус MBA.First написан на языке MapBasic и скомпилирован в бинарный файл, который может быть исполнен приложением MapInfo. Активизация вируса происходит при открытии таблицы, содержащей вредоносный код. При этом он копирует себя в программный каталог MapInfo в файл с именем 0gPiSs1.dll, после чего прописывает в файл автозапуска MapInfo команду на исполнение вирусного кода из файла 0gPiSs1.dll. Файл автозапуска MapInfo хранится в программном каталоге и имеет имя startup.wor. MapInfo автоматически выполняет его при старте перед открытием любых других файлов. Таким образом, вирус активизируется при каждом запуске MapInfo.

Во время работы приложения вирус запоминает имена файлов открываемых таблиц для последующего использования. При закрытии приложения вирус проверяет системную дату. По понедельникам он запускает первую деструктивную процедуру, которая перебирает запомненные во время работы таблицы и для каждой из них с вероятностью 1% удаляет файл с расширением .map, .tif, .pcx или .jpg. Вторая деструктивная процедура срабатывает, если системная дата показывает пятницу, 13-е, и делает то же, что и первая, но с вероятностью уже 14%. Кроме того, она переписывает файл mapinfow.prj текстом:

"--- Координаты ---" "Долгота / Широта", 3, 62, 8, -74, 40.5, 40.6666666667, 41.0333333333, 2000000, 100000

Дискуссия в метавселенной: ИИ, обмен данными и иммерсивные сценарии

ИТ в банках

Если системная дата показывает не понедельник и не пятницу 13-е, вирус заражает все запомненные в процессе работы таблицы. Для этого он записывает свой код в файл таблицы с расширением .mif и добавляет в таблицу команду для запуска этого файла.

Источник: по материалам «Лаборатории Касперского».

Поделиться

Подписаться на новости Короткая ссылка