Компания "Лаборатория Касперского", специализирующаяся на разработке антивирусных систем безопасности, сообщает об обнаружении первого в мире компьютерного вируса, внед
Компания "Лаборатория Касперского", специализирующаяся на разработке антивирусных систем безопасности, сообщает об обнаружении первого в мире компьютерного вируса, внедряющегося на самый высокий уровень безопасности Windows NT - область системных драйверов. Эта особенность делает вирус труднодоступным для лечения в памяти многими антивирусными программами.
Вирус был прислан 7 октября клиентами "Лаборатории Касперского", жаловавшимися на странное поведение их компьютерных систем. Детальный анализ подозрительных объектов подтвердил наличие в них нового вируса "Infis".
"Infis" является резидентным файловым вирусом, который работоспособен только под Windows NT версии 4.0 с предустановленным Service Pack 2, 3, 4, 5 или 6. Вирус не заражает системы под управлением Windows 9x, Windows 2000 и другие версии Windows NT.
Основным симптомом заражения является невозможность запустить некоторые программы. Например, MSPAINT.EXE, CALC.EXE, CDPLAYER.EXE и ряд других. По причине некорректного заражения вирус портит содержимое этих файлов. Другим признаком присутствия вируса на компьютере является файл INF.SYS в каталоге /WinNT/System32/Drivers.
При запуске зараженного файла вирус копирует из него свой код, записывает его в виде отдельного файла INF.SYS в каталог драйверов Windows \WinNT\System32\Drivers. Затем "Infis" создает в системном реестре ключ с тремя секциями:
\Registry\Machine\System\CurrentControlSet\Services\inf
Type = 1 - стандартный драйвер WinNT
Start = 2 - режим старта драйвера
ErrorControl = 1 - игнорировать ошибки.
В результате копия вируса в файле INF.SYS активизируется при каждом перезапуске Windows NT. При активизации файла INF.SYS запускается процедура заражения памяти Windows, которая выделяет необходимый вирусу блок памяти и перехватывает внутренние (недокументированные) функции этой операционной системы. Вирусный перехватчик обрабатывает только открытие файлов, затем проверяет их имена и внутренний формат и вызывает процедуру заражения.
Вирус заражает все PE (Portable Executable) EXE-файлы, за исключением CMD.EXE (командный процессор Windows NT). При заражении вирус увеличивает размер файла на длину своего "чистого кода" - 4608 байт. "Infis" избегает повторного заражения файлов, распознавая их по записанному ранее в поле "дата и время" значению -1 (FFFFFFFFh).
"Infis" не оказывает никакого разрушительного воздействия на зараженные компьютеры. Однако процедура заражения файлов содержит ряд ошибок, из-за которых вирус портит некоторые файлы при попытке внедрения в них. При запуске испорченные файлы вызывают стандартное сообщение Windows NT об ошибке в приложении.
В Исландии состоялась презентация исландской версии российского антивирусного комплекса AntiViral Toolkit Pro (AVP) "Лаборатории Касперского". Презентация была организована исландским дистрибьютером "Лаборатории Касперского" компанией "Снэрпа" (http://avp. snerpa.is). В качестве почетных гостей на мероприятии присутствовали министр образования Исландии Арни Маттисен, Посол РФ в Исландии Анатолий Зайцев, депутаты исландского парламента. Им были вручены первые коробки с исландской версией AVP. AVP "Лаборатории Касперского" уже поступил в продажу во всех крупных розничных магазинах Исландии.
I-Worm.Fix2001
Вирус-червь, поражающий компьютеры под управлением Windows. Распространяет свои копии через Интернет: перехватывает соединение с сетью Интернет, определяет Интернет-адреса, с которыми ведется переписка, и отсылает на эти адреса свои копии. По причине ошибок червь работоспособен только под Windows 95/98 и не работает под Windows NT.
На компьютер попадает в виде письма с вложенным EXE-файлом "Fix2001.Exe", являющимся на самом деле кодом червя. Заголовок (Subject) письма содержит строку "Internet problem year 2000.", а само сообщение содержит два текста на английском и испанском языках.
Инсталляция в систему
Вложенный в зараженное сообщение EXE-файл (тело червя) является выполняемым файлом Win32 длиной около 12K. При запуске этого EXE-файла червь копирует себя в каталог Windows с именем FIX2001.EXE и регистрирует этот файл в поле автозапуска программ "Run=" системного реестра:
HKEY_LOCAL_MASHINE\Software\Microsoft\Windows\ CurrentVersion\Run Fix2001 = "FIX2001.EXE"
Для того чтобы скрыть свою инсталляцию, червь выводит сообщение:
"Your Internet Connection is already Y2K, you don't need to upgrade it."
Размножение
При запуске файла FIX2001.EXE (при очередной перезагрузке Windows) червь регистрирует себя в памяти Windows как системный сервис (для того, чтобы сделать невидимым свой процесс и оставаться в памяти Windows при log-off текущего пользователя). Процесс червя имеет заголовок "AMORE_TE_AMO". Затем червь патчит код WSOCK32.DLL и получает доступ к функциям работы с Интернет ("connect" и "send").
При установке Интернет-соединения червь сканирует принимаемые и отправляемые данные, выделяет из них Интернет-адреса и посылает по этим адресам свои копии.
Проявление
Червь содержит крайне опасную процедуру, которая активизируется в том случае, если текстовые строки в теле червя оказываются изменены (это может произойти, например, при порче данных при их передаче через сеть Интернет). В этом случае червь записывает в файл C:\COMMAND.COM процедуру, которая при следующей перезагрузке стирает все данные на диске.
По информации вестника "Касперский сообщает..."
Вирус был прислан 7 октября клиентами "Лаборатории Касперского", жаловавшимися на странное поведение их компьютерных систем. Детальный анализ подозрительных объектов подтвердил наличие в них нового вируса "Infis".
"Infis" является резидентным файловым вирусом, который работоспособен только под Windows NT версии 4.0 с предустановленным Service Pack 2, 3, 4, 5 или 6. Вирус не заражает системы под управлением Windows 9x, Windows 2000 и другие версии Windows NT.
Основным симптомом заражения является невозможность запустить некоторые программы. Например, MSPAINT.EXE, CALC.EXE, CDPLAYER.EXE и ряд других. По причине некорректного заражения вирус портит содержимое этих файлов. Другим признаком присутствия вируса на компьютере является файл INF.SYS в каталоге /WinNT/System32/Drivers.
При запуске зараженного файла вирус копирует из него свой код, записывает его в виде отдельного файла INF.SYS в каталог драйверов Windows \WinNT\System32\Drivers. Затем "Infis" создает в системном реестре ключ с тремя секциями:
\Registry\Machine\System\CurrentControlSet\Services\inf
Type = 1 - стандартный драйвер WinNT
Start = 2 - режим старта драйвера
ErrorControl = 1 - игнорировать ошибки.
В результате копия вируса в файле INF.SYS активизируется при каждом перезапуске Windows NT. При активизации файла INF.SYS запускается процедура заражения памяти Windows, которая выделяет необходимый вирусу блок памяти и перехватывает внутренние (недокументированные) функции этой операционной системы. Вирусный перехватчик обрабатывает только открытие файлов, затем проверяет их имена и внутренний формат и вызывает процедуру заражения.
Вирус заражает все PE (Portable Executable) EXE-файлы, за исключением CMD.EXE (командный процессор Windows NT). При заражении вирус увеличивает размер файла на длину своего "чистого кода" - 4608 байт. "Infis" избегает повторного заражения файлов, распознавая их по записанному ранее в поле "дата и время" значению -1 (FFFFFFFFh).
"Infis" не оказывает никакого разрушительного воздействия на зараженные компьютеры. Однако процедура заражения файлов содержит ряд ошибок, из-за которых вирус портит некоторые файлы при попытке внедрения в них. При запуске испорченные файлы вызывают стандартное сообщение Windows NT об ошибке в приложении.
В Исландии состоялась презентация исландской версии российского антивирусного комплекса AntiViral Toolkit Pro (AVP) "Лаборатории Касперского". Презентация была организована исландским дистрибьютером "Лаборатории Касперского" компанией "Снэрпа" (http://avp. snerpa.is). В качестве почетных гостей на мероприятии присутствовали министр образования Исландии Арни Маттисен, Посол РФ в Исландии Анатолий Зайцев, депутаты исландского парламента. Им были вручены первые коробки с исландской версией AVP. AVP "Лаборатории Касперского" уже поступил в продажу во всех крупных розничных магазинах Исландии.
I-Worm.Fix2001
Вирус-червь, поражающий компьютеры под управлением Windows. Распространяет свои копии через Интернет: перехватывает соединение с сетью Интернет, определяет Интернет-адреса, с которыми ведется переписка, и отсылает на эти адреса свои копии. По причине ошибок червь работоспособен только под Windows 95/98 и не работает под Windows NT.
На компьютер попадает в виде письма с вложенным EXE-файлом "Fix2001.Exe", являющимся на самом деле кодом червя. Заголовок (Subject) письма содержит строку "Internet problem year 2000.", а само сообщение содержит два текста на английском и испанском языках.
Инсталляция в систему
Вложенный в зараженное сообщение EXE-файл (тело червя) является выполняемым файлом Win32 длиной около 12K. При запуске этого EXE-файла червь копирует себя в каталог Windows с именем FIX2001.EXE и регистрирует этот файл в поле автозапуска программ "Run=" системного реестра:
HKEY_LOCAL_MASHINE\Software\Microsoft\Windows\ CurrentVersion\Run Fix2001 = "FIX2001.EXE"
Для того чтобы скрыть свою инсталляцию, червь выводит сообщение:
"Your Internet Connection is already Y2K, you don't need to upgrade it."
Размножение
При запуске файла FIX2001.EXE (при очередной перезагрузке Windows) червь регистрирует себя в памяти Windows как системный сервис (для того, чтобы сделать невидимым свой процесс и оставаться в памяти Windows при log-off текущего пользователя). Процесс червя имеет заголовок "AMORE_TE_AMO". Затем червь патчит код WSOCK32.DLL и получает доступ к функциям работы с Интернет ("connect" и "send").
При установке Интернет-соединения червь сканирует принимаемые и отправляемые данные, выделяет из них Интернет-адреса и посылает по этим адресам свои копии.
Проявление
Червь содержит крайне опасную процедуру, которая активизируется в том случае, если текстовые строки в теле червя оказываются изменены (это может произойти, например, при порче данных при их передаче через сеть Интернет). В этом случае червь записывает в файл C:\COMMAND.COM процедуру, которая при следующей перезагрузке стирает все данные на диске.
По информации вестника "Касперский сообщает..."
Компьютерная газета. Статья была опубликована в номере 41 за 1999 год в рубрике безопасность :: Вирусный бюллетень
