Разделы

Безопасность Маркет

Хитрый вирус ловили целый месяц

В марте этого года по различным пиринговым сетям начал распространяться опасный полиморфный вирус Win32.Polipos. Первой его детектировала служба вирусного мониторинга компании «Доктор Веб» - 20 марта он был добавлен в вирусную базу Dr.Web. Что же касается всех остальных антивирусов, то до последнего времени обнаружить Polipos они не могли, несмотря на то, что его присутствие в P2P-сетях не является ни для кого новостью уже около месяца.
В «Лаборатории Касперского» CNews сообщили, что детектирование данной вредоносной программы добавлено в базу данных «Антивируса Касперского» лишь сегодня — он получил название P2P-Worm.Win32.Polipos.a. На вопрос, почему это произошло спустя месяц после первого обнаружения вируса, нам ответили, что «службой антивирусного мониторинга „Лаборатории Касперского“ в течение этого периода не было выявлено наличия сколько-нибудь заметной эпидемии, и не выявлено до сих пор. В то же время были зафиксированы множественные обращения по поводу других, более опасных вредоносных программ — например, Bagle, Gpcode, LdPinch и целого ряда других, значительно распространившихся в Сети в последние недели». В Panda Software нам заявили, что образец вируса у них уже имеется, не сообщив других подробностей. На данный момент, по информации «Лаборатории Касперского», кроме Dr.Web, вирус детектируют Avira (определяется как W32/Regenig) и Fortinet (W32/Polipos.V12).

В «Доктор Веб», в свою очередь, говорят, что на официальном сайте Fortinet в режиме онлайн вирус не обнаруживается, а Avira не определял его еще вчера. «До сих пор ни один известный на российском рынке антивирус не определяет этот вирус», — заявили CNews в пресс-службе «Доктор Веб».

#gallery#

Как сообщили корреспонденту CNews специалисты «Доктор Веб», ими были получены десятки запросов от пользователей (в основном, пользователей P2P-клиентов), пострадавших от Polipos, из разных стран, на счету вируса — тысячи зараженных файлов. Степень опасности вируса оценивается как высокая: Polipos пытается блокировать нормальную работу антивирусов, удаляя важные для них файлы, может раскрывать конфиденциальную информацию, открывая доступ к зараженной системе.

Специалисты «Доктор Веб» разработали и процедуру лечения файлов, зараженных вирусом Win32.Polipos. Сделано это, в частности, по просьбам тех пользователей, чьи антивирусные программы до сих пор не детектируют этот вирус и позволяют ему беспрепятственно заражать файлы на, казалось бы, защищенных компьютерах. Механизм лечения довольно сложен, поскольку требует обработки сложного криптоалгоритма XTEA, поэтому порой на дешифровку кода вируса может уходить довольно значительное (по компьютерным меркам) время. Для лечения зараженных файлов не требуется скачивания никаких дополнительных утилит — все осуществляется средствами самого антивируса Dr.Web при условии своевременного обновления вирусных баз.

Александр Осипов, МегаФон: Эффективность киберзащиты вырастет, если снизится рутинная нагрузка на специалистов
безопасность

Помимо сложного полиморфного механизма, реализованного в вирусе, в нем содержалась и опасная функция «нейтрализации» целого ряда антивирусных программ и прочих средств безопасности. С легкостью распространяясь по P2P-сетям, вирус проникает на подключенные машины и, будучи запущенным, скрытно делает их участниками общедоступной P2P-сети.

Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы «покрывая тело файла-жертвы собственными пятнами». При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код, сдвигая секцию ресурсов — при ее наличии — «вниз». При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным образом, стартовым адресом вируса.

Надежда Генина