26.04.2006  Новости

Служба вирусного мониторинга компании “Доктор Веб” информирует всех пользователей пиринговых сетей об опасном полиморфном вирусе Win32.Polipos, который уже более месяца распространяется по различным P2P-сетям и поражает исполняемые файлы Windows. Вредоносное действие данного кода заключается в том, что заражённые им файлы без ведома их владельцев становятся общедоступными для пользователей пиринговых сетей. При запуске вирус внедряет свой код во все запущенные процессы. Исключение почему-то составляют процессы с именами savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll, smss, csrss, spoolsv, ctfmon и temp. Таким образом, в памяти оказываются несколько копий вируса, каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P-сетями и т. д. Резидентные копии Win32.Polipos перехватывают следующие API функции: ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW. При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве с оверлеями (sfx-архивы, файлов инсталляции и т. п.) вирус пытается создать оригинальную копию файла во временном каталоге с именем ptf*.tmp, которую и запускает. Это делается для обхода контроля целостности, используемого некоторыми инсталляторами. Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного ... читать далее.