"Лаборатория Касперского" предупредила об обнаружении нового компьютерного вируса Magistr, распространяющегося по электронной почте и использующего крайне сложные технологии сокрытия своего присутствия на зараженных системах.

Вирус написан на языке Assembler и имеет размер около 30 Kб. Червь инфицирует выполняемые файлы Windows и способен распространяться по локальной сети. Вирус имеет очень опасные проявления: в зависимости от различных условий он стирает данные на жестком диске, CMOS и Flash память таким же образом, как и вирус Win95.CIH(aka Chernobyl).

После выполнения (клике пользователя на инфицированный аттач) вирус инсталлирует себя как компонент EXPLORER.EXE (в памяти Windows) и затем функционирует в фоновом режиме, сканируя при этом все файлы и заражая PE EXE (выполняемые файлы Windows) сложным и запутанным способом, что значительно усложняет их дезинфекцию. Вирус шифрует свой основной код с помощью полиморфного механизма и записывает его в конец заражаемого файла. Кроме этого, также в фоновом режиме червь занимается рассылкой зараженных E-mail-сообщений и инфицированием сети.

Для своей рассылки по электронной почте, Magistr сканирует базы данных почтовых программ Outlook Express, Netscape Messenger, Internet Mail, а также адресную книгу Windows и считывает оттуда все электронные адреса.

Данные о местоположении почтовых баз и их именах вирус записывает в специальный файл с расширением DAT. Имя этого файла получается путем шифрования имени компьютера. Например, если компьютер имеет сетевое имя CS-GOAT, то файл будет называться WG-SKYF.DAT. В зависимости от первого символа имени DAT-файла он помещается в корневой каталог диска C: или директории Windows, или Program Files.

После этого он незаметно считывает адрес используемого компьютером SMTP-сервера и от имени пользователя отсылает через него электронные сообщения, содержащие зараженные файлы, случайно взятые с зараженного компьютера. Заголовки сообщений случайным образом выбираются либо из найденных на компьютере DOC и TXT файлов, либо из содержащегося в теле вируса списка стандартных фраз на английском, французском и испанском языках. Сообщения не содержат никаких текстов, а в качестве вложенных файлов вирус использует случайно выбранный на компьютере PE EXE или SCR файл длиной меньше 132 Кб. Подобная неустойчивость внешних признаков существенно затрудняет идентификацию пользователями зараженных писем.

Важно отметить, что в процессе рассылки инфицированных писем вирус случайным образом искажает адрес отправителя (удаляет или заменяет некоторые буквы). Это обстоятельство также способствует сокрытию вирусной активности на зараженном компьютере, поскольку его владелец во многих случаях не сможет получить ответ от получателя с подтверждением о прочтении файла или вопросом о его содержании: при попытке ответить письмо будет автоматически адресовано на несуществующий адрес.

Для обеспечения своего постоянного присутствия в системе, Magistr модифицирует конфигурационный файл Windows WIN.INI и системный реестр таким образом, что вирус активизируется каждый раз при запуске операционной системы. При заражении сетевых ресурсов вирус модифицирует только WIN.INI. Magistr содержит исключительно опасную деструктивную функцию. Через 1 месяц после заражения компьютеров под управлением Windows NT/2000 вирус уничтожает все файлы на локальных и сетевых дисках, записывая в них фразу "YOUARESHIT". В дополнение к этому, на компьютерах с установленной Windows 95/98/ME вирус сбрасывает данные в памяти CMOS (CMOS содержит аппаратные параметры загрузки компьютера) и, подобно вирусу "Чернобыль" (CIH), уничтожает содержимое микросхемы FLASH BIOS. После этого он показывает следующее сообщение:
Another haughty bloodsucker.......
YOU THINK YOU ARE GOD,
BUT YOU ARE ONLY A CHUNK OF SHIT

Кроме того, в зависимости от ряда условий, вирус запускает еще одну процедуру, вызывающую эффект "убегающих иконок": при установке указателя мыши на какой-либо иконке рабочего стола она тут же меняет свое местоположение, так что пользователь не в состоянии запустить соответствующую ей программу.

"В данном случае мы имеем дело с весьма сложным и технологически продвинутым вирусом, впитавшим в себя все наиболее эффективные методы распространения, заражения, маскировки и самые опасные деструктивные функции, - комментирует Денис Зенкин, руководитель информационной службы "Лаборатории Касперского". - По сути дела, Magistr - это результат успешного скрещивания бешеной скорости распространения вируса ILOVEYOU и разрушительного воздействия "Чернобыля".
По информации РИА "РосБизнесКонсалтинг".