Архив

Очередной Windows-вирус Win95.SK

Конец зимы 1999 г. принес очередной сюрприз пользователям Microsoft Windows и разработчикам антивирусных программ. Очередной Windows-вирус, получивший название Win95.SK, помимо заражения выполняемых файлов, cодержал необычную подпрограмму: вирус записывал свой код в файлы помощи Windows (HLP-файлы).

Кроме инфицирования HLP-файлов вирус также добавляет свои копии в архивы наиболее популярных форматов, заражает ядро Windows 95/98 и остается резидентно в памяти компьютера как системный драйвер Windows. В зараженных файлах он шифруется полиморфным (мутирующим) кодом, использует малоизвестные адреса и функции Windows, а также содержит большое число программных уловок, существенно затрудняющих процесс его изучения.

В целом, вирус Win95.SK представляет собой достаточно сложную программу: специалистам «Лаборатории Касперского» потребовалось целых два дня для проведения детального анализа всех известных версий вируса и подключения в антивирусную базу AVP процедур обнаружения и лечения зараженных файлов (они включены в очередной апдейт, доступный на сайте компании). Помимо этого, было установлено, что способности вируса к размножению крайне ограничены. Он инфицирует далеко не все файлы, делает это весьма редко и при достаточно специфических системных условиях.

Для тестирования процедур обнаружения и лечения вирусов (особенно полиморфных) требуется большое количество инфицированных файлов (для семейства Win95.SK — не менее тысячи для каждого варианта вируса). Однако он размножается настолько редко, что специалисты «Лаборатории Касперского» потратили еще 4 дня для получения достаточного количества зараженных файлов.

Но самым интересным в вирусе является отнюдь не его сложность, а механизм внедрения в HLP-файлы Windows. О возможности заражения HLP-файлов Windows было известно давно, однако ранее подобное не встречалось. Вирус Win95.SK является первым известным вирусом, способным записывать свой код в файлы этого типа.

Способность вируса заражать файлы помощи Windows базируется на том факте, что HLP-файлы могут содержать в себе подпрограммы, написанные на специальном скрипт-языке (макросы). Язык, используемый в HLP-скриптах, позволяет создавать на диске файлы и запускать их на выполнение. Данные скрипты автоматически исполняются обработчиком HLP-файлов (утилитой WinHelp) при их открытии.

При заражении HLP-файлов вирус записывает свою копию в их конец и создает в них новый макрос, который содержит 10 команд. Этот макрос при активизации создает на диске зараженный файл и запускает его на выполнение. Таким образом, вирус заражает систему при открытии инфицированного HLP-файла.

Помимо перечисленного вирус содержит опасную деструктивную функцию. При запуске антивирусов AVP, AVP Inspector, ADINF и DRWEB он уничтожает все файлы на всех дисках от C до Z.

В целом, Win95.SK является действительно сложным и неординарным вирусом, что вызвало естественный профессиональный интерес со стороны антивирусных экспертов. Однако, наряду с этим, новый вирус стал причиной необоснованной рекламной шумихи.

С середины февраля по российским информационным каналам распространяются пресс-релизы, в которых указывается, что вирус Win95.SK стал причиной крупномасштабной эпидемии как в России, так и во всем мире.

«Лаборатория Касперского» считает своим долгом заявить, что данная информация не соответствует действительности.

Эксперты «Лаборатории Касперского» провели детальный анализ вируса, и оценивают вероятность его широкого распространения как весьма близкую к нулю. Для этого существует ряд причин.

Во-первых, вирус содержит ошибки. Одна из них приводит к тому, что вирус оказывается «несовместим» со многими конфигурациями Windows. При запуске вируса в таких конфигурациях система выдает стандартное сообщение об ошибке в своем ядре.

Во-вторых, вирус заражает файлы крайне неохотно. С большой долей вероятности запуск вируса в обычных условиях не приведет к инфицированию каких-либо других файлов в системе.

В-третьих, при запуске наиболее популярных в России антивирусных программ вирус уничтожает все содержимое дисков, включая и все свои копии.

Таким образом, даже при условии того, что автор вируса разослал его в электронные конференции (например, как это произошло с нашумевшими Win95.CIH и I-Worm.Happy), эпидемия Win95.SK крайне маловероятна. Если неосторожный пользователь запустит вирус на своем компьютере, его дальшейшее распространение будет прервано по одной из причин: вирус вызовет ошибку и система зависнет, либо ни один файл на компьютере пользователя не окажется заражен, либо вирус уничтожит систему и самого себя.

Эксперты «Лаборатории Касперского» вполне допускают, что вирус, возможно, и был заслан в конференции, и по этой причине заражены оказались несколько десятков или даже сотня компьютеров, что никак нельзя назвать эпидемией. Тем более эпидемией, вышедшей за пределы России: как показали исследования, вирус способен размножаться из зараженных HLP-файлов только на тех компьютерах, где установлена поддержка русского языка. Так что «возникновение мировой эпидемии вируса Win95.SK так же вероятно, как появление популяции пираний в Москва-реке или крокодилов в канализации Санкт-Петербурга» — заявил Евгений Касперский.

Резюмируя вышесказанное, можно со всей ответственностью заявить, что слухи об эпидемии вируса Win95.SK не имеют под собой никакого основания. Налицо типичный случай нагнетания вирусной истерии, когда проводится недобросовестная кампания устрашения с единственной целью: привлечь внимание перепуганных пользователей и в результате заработать на них как можно больше денег. Подобные кампании больше напоминают мышиную возню, достойную разве что популярного WEB-сайта http://kumite.com/myths/ — наиболее полного собрания вирусных профанаций, где вполне могут претендовать на награждение «почетной» наградой «Virus Hysteria Award».

Очередной Windows-вирус Win95.SK

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике