главная    источники    организации    прислать историю
поиск 
 
 
 
 
 
 Белые страницы однополчан
 Ищу тебя
 Список погибших 1941-1945
 Солдатские медальоны 1941-45
 
 
 
 
 
 
 История Отечества
Русско-турецкая война
Русско-японская война
Первая мировая война
Гражданская война
Вторая мировая война
Необъявленные войны СССР
Война в Афганистане
Война в Чечне
Грузино-российский конфликт
Осетино-ингушский конфликт
 
 
 
 Великие битвы
 Аллея Славы
 Великие полководцы
 
 
 
 
 
 
 Знаменательные даты
 Фронтовые письма
 Истории очевидцев
 Военные потери в войнах XX в.
 Города-герои
 
 
 
 
 
 
 Военная геральдика
Флаги РСФСР, 1918-1922
Знаки СССР
Ордена СССР
Медали СССР
Юбилейные медали СССР
Флаги СССР
Знаки отличия РФ
Ордена РФ
Медали РФ
Флаги РФ
 Организации
 Законодательные документы
 Военные песни
 Энциклопедия военной техники
 Военная проза и поэзия
 Кинофильмы
 


 
 
Наши проекты
Мировые новости Сайты для компаний Служба рассылки Игровой сервер Открытки любимым
Тесты
 
 


 



 Russian Information Network
 
 

Dr.Web предупреждает об опасном полиморфном вирусе Win32.Polipos

<<назад

Служба вирусного мониторинга компании "Доктор Веб" информировала пользователей пиринговых сетей об опасном полиморфном вирусе Win32.Polipos, который уже в течение целого месяца распространяется по различным пиринговым сетям.

Началось распространение Win32.Polipos в марте этого года. Помимо сложного полиморфного механизма, реализованного в вирусе, в нем содержалась и опасная функция "нейтрализации" целого ряда антивирусных программ и прочих средств безопасности. С легкостью распространяясь по P2P-сетям, вирус проникает на подключенные машины, и, будучи запущенным, скрытно делает их участниками общедоступной P2P-сети.

Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы "покрывая тело файла-жертвы собственными пятнами". При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код, сдвигая секцию ресурсов - при ее наличии - "вниз". При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным образом, стартовым адресом вируса.

При запуске вирус внедряет свой код во все запущенные процессы. Исключение составляют процессы со следующими именами: savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll smss, csrss, spoolsv, ctfmon, temp

Таким образом, в памяти оказываются несколько копий вируса, каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и пр. Зараженные файлы становятся общедоступными для участников этой сети.

Резидентные копии Win32.Polipos перехватывают следующие API функции: ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW. При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве с оверлеями (sfx-архивы, файлов инсталляции и т.п.) вирус пытается создать оригинальную копию файла во временном каталоге с именем ptf*.tmp, которую и запускает. Это делается для обхода контроля целостности, используемого некоторыми инсталляторами.

Безусловно, распространение подобного вируса вызвало беспокойство среди пользователей соответствующих P2P сетей. Однако обращает на себя внимание довольно любопытное обстоятельство.

  • Dr.Web предупреждает об опасном полиморфном вирусе Win32.Polipos
  • Рейтинг распространения вирусных программ
  • Новая угроза для пользователей социальных сетей
  • Самым распространенным вирусом февраля стал червь Mytob
  • В чате Facebook появился вирус-троян
  • Чиликанов Игорь Васильевич, не определен
  • Намсинов Илья Евгеньевич, Ростов
    •

     
     
    Copyright © RIN 2003-.  * Обратная связь