Зловредный вирус-червь «Magistr»: распространяется медленно, ударяет сильно

«Лаборатория Касперского» предупреждает пользователей об обнаружении нового компьютерного вируса «Magistr», распространяющегося по электронной почте и ресурсам локальных сетей и использующего крайне сложные технологии сокрытия своего присутствия на зараженных системах. Судя по комментариям в коде вируса, он создан неким шведским хакером по кличке «The Judges Disemboweler».

Лаборатория Касперского уже получила несколько сообщений о фактах обнаружения вируса в «диком» виде.

«Magistr» может проникнуть в компьютер тремя основными способами. Во-первых, через письма электронной почты, в случае, если пользователь запустил зараженный вложенный файл. Во-вторых, через локальную сеть, заражая файлы на доступных ресурсах серверов и других компьютеров. В-третьих, в процессе обмена файлами с использованием мобильных накопителей.

Сразу же после запуска инфицированного файла, вирус инициирует процедуру внедрения в систему, рассылки и, через определенное время, активизирует встроенные деструктивные действия.

Для проведения рассылки по электронной почте, «Magistr» сканирует базы данных почтовых программ Outlook Express, Netscape Messenger, Internet Mail, а также адресную книгу Windows и считывает оттуда все электронные адреса. Данные о местоположении почтовых баз и их именах вирус записывает в специальный файл с расширением DAT. Имя этого файла получается путем шифрования имени компьютера. Например, если компьютер имеет сетевое имя CS-GOAT, то файл будет называться WG-SKYF.DAT. В зависимости от первого символа имени DAT-файла он помещается в корневой каталог диска C: или директории «Windows» или «Program Files».

После этого он незаметно считывает адрес используемого компьютером SMTP-сервера и от имени пользователя отсылает через него электронные сообщения, содержащие зараженные файлы, случайно взятые с зараженного компьютера. Заголовки сообщений случайным образом выбираются либо из найденных на компьютере DOC и TXT файлов, либо из содержащегося в теле вируса списка стандартных фраз на английском, французском и испанском языках. Сообщения содержат случайные тексты, взятые из случайных файлов на диске. В качестве вложенных файлов вирус использует случайно выбранный на компьютере PE EXE или SCR файл длиной меньше 132 Кб. Подобная неустойчивость внешних признаков существенно затрудняет идентификацию пользователями зараженных писем.

Важно отметить, что в процессе рассылки инфицированных писем, вирус случайным образом искажает адрес отправителя (удаляет или заменяет некоторые буквы). Это обстоятельство также способствует сокрытию вирусной активности на зараженном компьютере, поскольку его владелец во многих случаях не сможет получить ответ от получателя с подтверждением о прочтении файла или вопросом о его содержании: при попытке ответить письмо будет автоматически адресовано на несуществующий адрес.

После запуска «Magistr» заражает все файлы форматов PE EXE и SCR в каталогах «Windows», «WinNT», «Win95» и «Win98» всех локальных дисков. После этого он сканирует все доступные сетевые ресурсы и снова ищет те же каталоги и заражает обнаруженные там файлы. В процессе внедрения в файлы вирус использует ряд исключительно сложных методов, что значительно осложняет процедуру его обнаружения и удаления. Для этого тело вируса разделяется на три части, две из которых шифруются полиморфным кодом, так что зараженный файл выглядит следующим образом:

Таким образом, после запуска зараженного файла, вирус перехватывает его выполнение в точке входа и переадресовывает обработчик на код вируса. И только после окончания выполнения основного кода вируса управление снова передается оригинальной программе.

Для обеспечения своего постоянного присутствия в системе, «Magistr» модифицирует конфигурационный файл Windows WIN.INI и системный реестр таким образом, что вирус активизируется каждый раз при запуске операционной системы. При заражении сетевых ресурсов вирус модифицирует только WIN.INI.

«Magistr» содержит исключительно опасную деструктивную функцию. Через 1 месяц после заражения компьютеров под управлением Windows NT/2000 вирус уничтожает все файлы на локальных и сетевых дисках, записывая в них фразу «YOUARESHIT». В дополнение к этому, на компьютерах с установленной Windows 95/98/ME вирус сбрасывает данные в памяти CMOS (CMOS содержит аппаратные параметры загрузки компьютера) и, подобно вирусу «Чернобыль» (CIH), уничтожает содержимое микросхемы FLASH BIOS. После этого он показывает следующее сообщение:

Another haughty bloodsucker…….

YOU THINK YOU ARE GOD ,

BUT YOU ARE ONLY A CHUNK OF SHIT

Кроме того, в зависимости от ряда условий, вирус запускает еще одну процедуру, вызывающую эффект «убегающих иконок»: при установке указателя мыши на какой-либо иконке рабочего стола она тут же меняет свое местоположение, так что пользователь не в состоянии запустить соответствующую ей программу:

Учитывая опасность и быстрое распространение вируса «Magistr» Лаборатория Касперского рекомендует пользователям немедленно обновить базы данных Антивируса Касперского, куда уже внесены процедуры защиты от данного вируса.