Астрология /
Dr.Web предупреждает об опасном полиморфном вирусе Win32.PoliposСлужба вирусного мониторинга компании "Доктор Веб" информировала пользователей пиринговых сетей об опасном полиморфном вирусе Win32.Polipos, который уже в течение целого месяца распространяется по различным пиринговым сетям.
Началось распространение Win32.Polipos в марте этого года. Помимо сложного полиморфного механизма, реализованного в вирусе, в нем содержалась и опасная функция "нейтрализации" целого ряда антивирусных программ и прочих средств безопасности. С легкостью распространяясь по P2P-сетям, вирус проникает на подключенные машины, и, будучи запущенным, скрытно делает их участниками общедоступной P2P-сети.
Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы "покрывая тело файла-жертвы собственными пятнами". При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код, сдвигая секцию ресурсов - при ее наличии - "вниз". При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным образом, стартовым адресом вируса.
При запуске вирус внедряет свой код во все запущенные процессы. Исключение составляют процессы со следующими именами: savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll smss, csrss, spoolsv, ctfmon, temp
Таким образом, в памяти оказываются несколько копий вируса, каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и пр. Зараженные файлы становятся общедоступными для участников этой сети.
Резидентные копии Win32.Polipos перехватывают следующие API функции: ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW. При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве с оверлеями (sfx-архивы, файлов инсталляции и т.п.) вирус пытается создать оригинальную копию файла во временном каталоге с именем ptf*.tmp, которую и запускает. Это делается для обхода контроля целостности, используемого некоторыми инсталляторами.
Безусловно, распространение подобного вируса вызвало беспокойство среди пользователей соответствующих P2P сетей. Однако обращает на себя внимание довольно любопытное обстоятельство.
Аквамарин
Как талисман развивает смелость, поддерживает единство супругов. Предупреждает владельца потемнением и уменьшением прозрачности о направленных против него кознях
Рубин
Рубин - алый прозрачный камень, ценившийся на Востоке выше алмаза. Его главное магическое свойство - рождать влечение к великому. На руке благородного человека он ведет к победам, дает счастье в любви и предупреждает об опасности изменением цвета.
Рейтинг распространения вирусных программ
Известный отечественный разработчик антивирусных решений, "Лаборатория Касперского", опубликовала рейтинг распространения вредоносных кодов в январе текущего года.
Новая угроза для пользователей социальных сетей
"Лаборатория Касперского" сообщила о новой угрозе для пользователей социальных сетей. Два сетевых червя, Net-Worm.Win32.Koobface.a и Net-Worm.Win32.Koobface.b, оставляют комментарии к профилям друзей пользователя, заманивая на вредоносные сайты.
|