На прошлой неделе в почтовой рассылке Focus Virus появилось несколько сообщений о заражении компьютеров вирусом ZombieMist, который впервые появился около года назад. Эксперты в области антивирусных технологий считают ZombieMist самым совершенным и сложным для обнаружения вирусом.
Дело в том, что для маскировки вирус использует совершенно новый прием, названный "интеграцией в код". В компании Symantec установили, что вирус умеет декомпилировать исполняемые файлы и внедрять в них свой код, захватывая с этой целью до 32 Мб RAM. В результате, можно сказать, что пораженный файл сам становится вирусом, при этом зараженная программа продолжает нормально работать. Таким образом, обнаружить вирус путем эвристического анализа файлов становится весьма сложно, к тому же, для дополнительной маскировки в ZombieMist используются элементы полиморфизма. Кстати, по некоторым данным, этот вирус был написан россиянином, скрывающимся за псевдонимом Zombie.
Для распространения ZombieMist использует метод "лобовой атаки": вначале поражаются исполняемые файлы из папок, указанных в строке "Path" файла autoexec.bat, а затем наступает очередь всех программ на локальных и сетевых дисках. Тем не менее, тревога может оказаться ложной, так как обе компании, сообщившие о заражении ZombieMist, пользуются антивирусной программой AVP, некоторые версии которой в свое время принимали за этот вирус вполне безобидные файлы. С другой стороны, имеются данные о том, что ZombieMist проверяет систему на наличие AVP и пытается блокировать работу этой программы. Важно отметить, что в ходе испытаний вируса в фирме Symantec ни одной неудачной попытки заражения зафиксировано не было, сообщает "Компьюлента".