/ Новости / 15.03.2001
Нетоскоп
Новости

Новости
ФЕВРАЛЬ МАРТ АПРЕЛЬ
ПН ВТ СР ЧТ ПТ СБ ВС
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31
2000 год 2001 2002 год

Форум
Клиенты подали в суд на PayPal за закрытие счетов (17)
Корейцы завалили сервер Олимпийского комитета США (6)
На "Газете.ру" решают судьбу российской олимпийской сборной (10)
"Коммерсант" опубликовал Топ-100 IT-менеджеров (11)
Новый сайт "За стеклом" сделал Павел Черкашин (13)
К 2020 году роботы получат гражданские права (10)
Физматшкола 239 компьютеризирована на пиратские деньги (22)
Японцы пытались сорвать сахалинский референдум (219)
Сергей Покровский: "Первые русские хакеры были работниками НИИ" (101)


Разделы

     Новый вирус Magistr: медленнее ILoveYou, но опаснее "Чернобыля"
Алексей Рерих

15.03.2001 15:08

версия для печати

Как сообщает в среду The Register, по Сети в диком виде распространяется новый разрушительный полиморфный вирус Magistr. Зафиксировано уже несколько десятков случаев появления вируса, и тем, кто его обнаружил, можно только посочувствовать.

На этот раз новый почтовый червь представляет собой нечто более серьезное, чем "голые женушки" и "анны курниковы", состряпанные любителями легкой славы и экспериментов над публикой.

Новый вирус использует крайне сложные технологии распространения и сокрытия себя в зараженных системах. Кроме того, вирус обладает целым рядом деструктивных функций, приводящих к уничтожению не только данных на жестком диске, но и к нарушению работы аппаратного обеспечения. Как и подавляющее большинство его собратьев и предков, Magistr распространяется и живет в среде Windows/32.

Как явствует из строки программного кода червя, написан он неким шведским хакером по кличке "The Judges Disemboweler" ("Потрошитель богов"). Видимо, с этим самоназванием связано то, что после выполнения деструктивных действий вирус показывает следующее сообщение: "YOU THINK YOU ARE GOD, BUT YOU ARE ONLY A CHUNK OF SHIT" ("ты думаешь, ты бог, а ты просто кусок дерьма").

Вирус распространяется тремя способами: посредством электронной почты в виде прикрепленного исполняемого файла; через компьютеры и серверы, включенные в локальную сеть; при использовании переносных накопителей.

После активации вирус сразу же прописывает себя в систему и преступает к рассылке по имеющимся в базе данных электронным адресам. Через некоторое время вирус приступает к более серьезным действиям.

Magistr сканирует базы данных почтовых программ Outlook Express, Netscape Messenger, Internet Mail, а также адресную книгу Windows, записывая выуженные данные в специально создаваемый файл с расширением DAT.

При рассылке себя по адресам вирус случайным образом выбирает заголовки сообщений из найденных на компьютере файлов с расширением .DOC и .TXT, либо из содержащегося в теле вируса набора стандартных фраз на английском, французском или испанском языке. То есть простой классический метод определения зараженного файла по его расширению, полю subject или тексту, в данном случае не работает. При этом в качестве вложенных файлов вирус использует случайно выбранный на компьютере исполняемый файл меньше 132 Кб. Все это существенно затрудняет идентификацию зараженных писем.

Помимо этого вирус искажает - опять-таки случайным образом - адрес отправителя, после чего владелец зараженного компьютера, с которого производится рассылка, не может получить ответ от адресата с подтверждением о прочтении файла или вопросом о его содержании.

При внедрении в систему вирус заражает исполняемые файлы на всех локальных дисках, при этом в процессе внедрения в файлы вирус использует сложную процедуру: тело вируса разделяется на три части, две из которых шифруются полиморфным кодом.

После запуска зараженного файла, вирус перехватывает его выполнение в точке входа и переадресовывает обработчик команды на код вируса. И только после окончания выполнения основного кода вируса управление снова передается оригинальной программе.

Magistr изменяет файл WIN.INI и системный реестр таким образом, что вирус активизируется каждый раз при запуске операционной системы.

В зависимости от версии ОС Windows, вирус выполняет различные деструктивные действия. Через месяц после заражения компьютеров, работающих под Windows NT/2000, вирус уничтожает все файлы на локальных и сетевых дисках, записывая вместо их содержимого одну и ту же фразу - "YOUARESHIT". Кроме того, на компьютерах под управлением OC Windows 95/98 и МЕ вирус сбрасывает данные в памяти CMOS и уничтожает данные FLASH BIOS.

Помимо этого вирус также способен вызвать эффект "убегающих иконок": при попытке кликнуть мышкой на иконке, она перемещается.

"Лаборатория Касперского" заявляет: "В данном случае мы имеем дело с весьма сложным и технологически продвинутым вирусом, впитавшем в себя все наиболее эффективные методы распространения, заражения, маскировки и самые опасные деструктивные функции. По сути дела, Magistr – это результат успешного скрещивания бешеной скорости распространения вируса "ILOVEYOU" и разрушительного воздействия "Чернобыля".

Обсудить в форуме (Сообщений : 1)

ССЫЛКИ ПО ТЕМЕ
"Лаборатория Касперского"
Hardware-trashing virus spreads by email - The Register, 14.03.01
Magistr: рецепт приготовления смеси вируса и сетевого червя, приправленной многоуровневым полиморфизмом - "Лаборатория Касперского", 14.03.01

МАТЕРИАЛЫ ПО ТЕМЕ
Крестный отец "Анны Курниковой" обновил свой генератор вирусов - 13.03.01
Вирус "Голая женушка" обещает показать жену друга - 07.03.01
Почтовый червь MyBabyPic смутил "Лабораторию Касперского" - 28.02.01
Автора "Анны Курниковой" зовут на работу в полицию - 19.02.01
Червь "Анна Курникова": пришел, увидел и ... ушел - 13.02.01
Вирус Ramen одичал и напал на лабораторию NASA - 26.01.01
Главным разносчиком "заразы" в 2000 году признана электронная почта - 18.12.00
Самым разрушительным вирусом 2000 года оказался малоизвестный почтовый червь - 14.12.00
В Новый год вирус проиграет пользователям гимн СССР - 16.11.00
Крупные компании поражает вирус для дураков - 13.11.00
Автору "Чернобыля" грозит три года тюрьмы - 18.09.00
Страшный вирус "I love you" возвращается в новом обличьи - 17.08.00




ПРЕСС-РЕЛИЗЫ
Yellow NewsPillow
Возрождение легендарной NewsPillow

АИСТ
Стартует дилерская программа ASP-сервиса SiteManager для веб-студий

Caravan
Караван отменяет все регистрационные платежи на виртуальном хостинге и на размещение физических серверов (Colocation)

Экспресс-Интернет
Система управления сайтом для Веб-студий, а не для Владельцев сайтов. Экспресс-Интернет.

"Логика Бизнеса"
Мария Каменнова вошла в TOP-100 отечественной ИТ-индустрии

Copyright © 2000-2002 Нетоскоп
Информация о сайте

Hosted by uCoz