В "окна" лезут вирусы

О "специализированных" вирусах под Windows 2000 и о мании величия вирусописателей

Не успела появиться новая ОС от Microsoft Windows 2000, не успели еще толком разобраться в ней обычные, рядовые пользователи, как тут же возникли новые вирусы, созданные специально под эту версию "окон". Ну, не спится спокойно вирусописателям… Радует пока только одно: эти вирусы, по общему мнению специалистов, не имеют массового распространения и сами по себе не являются "злыми" и "дикими". Впрочем, ближе к делу (или "телу" вируса).

Первый вирус, поражающий компьютеры с ОС Windows 2000, появился еще в январе этого года, за несколько недель до официального выпуска новой операционной системы. Он назывался W2K.Installer.1676 (он же Win2000.Install и Win2K.Inta). Эксперты, изучившие работу вируса W2K.Installer, заявили, что он не использует никакой потенциальной дыры в защите Windows 2000. Это обычный файловый вирус, который действует так целенаправленно лишь по той простой причине, что сначала проверяет, какая ОС работает на компьютере, и распространяется, только если это Windows 2000. Антивирусные лаборатории получили его по почте, и разослал его, по их мнению, сам автор вируса W2K.Installer.1676. Никаких разрушительных действий на компьютере вирус не производит, только распространяется дальше при передаче зараженных файлов. По сути, W2K.Installer.1676 - это просто "концептуальный" вирус первого поколения. Такие вирусы создаются, когда их авторы только исследуют новую ОС на наличие в ней дыр или когда они хотят доказать себе и окружающим, что могут написать "специализированный" вирус, который работает под определенную версию ОС. Очевидно, авторы W2K.Installer из хакерской группы 29А просто стремились к лаврам создателей первого вируса для Windows 2000. При запуске вирус сканирует дерево подкаталогов текущего диска и ищет PE EXE-файлы. Затем вирус определяет в кодовом сегменте файла блок неиспользуемых байтов достаточной длины, копирует туда свой код и заменяет точку входа в файл на команду перехода на код вируса. В результате длина файлов при заражении не увеличивается. Вирус также ищет файлы с расширением .MSI (Microsoft Windows Installer - инсталляционные архивы), сканирует их содержимое на наличие PE EXE-файлов и заражает их внутри MSI-архивов. Заражению подвергаются и файлы с расширением .ACM, .AX, .CNV, .COM, .CPL, .DLL, .DRV, .MPD, .OCX, .PCI, .SCR, .SYS, .TSP, .TLB, .VWP, .WPC.

Через неделю после официального выхода Windows 2000 компания Symantec сообщила о появлении нового вируса для Windows 2000, который получил название W2K.Infis.4608. Этот вирус может поражать и другие версии ОС. Он попадает на компьютер, только если пользователь подключен в данный момент к сети и имеет привилегии администратора. Вирус загружает в папку с системными драйверами драйвер inf.sys, по которому и можно определить заражение вирусом. Также в файле Registry будет содержаться ключ hklm\system\CurrentControlSet\Services\inf. W2K.Infis.4608 - это вариант одного более старого Windows NT-вируса WNT.Infis.4608, который заражает некоторые исполняемые файлы и распространяется только при подключении к сети и при наличии прав администратора. Вирус считается малоопасным, сообщений о его массовом распространении нет.

Win2K.Stream - первый Windows-вирус, который при заражении файлов использует метод замещения потоков ("stream companion"). Этот метод основан на возможности файловой системы NTFS создавать дополнительные блоки данных ("потоки" данных - streams), которые ассоциированы с конкретным файлом. Вирус был создан в конце августа двумя хакерами из Чехии с "никами" Benny (все из той же хакерской группы 29А) и Ratter, и является приложением Windows (PE EXE-файл), упакованным утилитой сжатия Petite. При запуске заражает все файлы в текущем каталоге и возвращает управление программе-носителю. Если при работе вируса возникает какая-либо ошибка, он выводит следующее сообщение:

При заражении файла вирус переносит его тело (стандартный поток) в новый поток (который имеет имя STR) и затем записывает свой код в стандартный поток файла. Таким образом, тело зараженного файла (стандартный поток) оказывается замещенным кодом вируса, а первоначальное содержимое файла оказывается перемещенным в его поток. При запуске зараженного файла Windows считывает и выполняет его стандартный поток (т.е. код вируса). Windows также показывает у всех зараженных файлов одинаковую длину - длину файла-вируса (поскольку Windows сообщает длину только основного потока файла). Для того, чтобы возвратить управление первоначальному коду зараженного файла, вирус всего лишь запускает на выполнение соответственный поток файла, используя его имя: "FileName:STR". Подобный метод заражения должен работать на любой операционной системе, которая поддерживает NTFS, однако вирус проверяет версию ОС и вызывает процедуры заражения только под Win2000.

Так что будьте внимательны: и на "Окна 2000" найдутся свои вирусы, покуда есть люди, которыми владеет мания величия и желание прославиться таким образом.

Обсуждение статьи - в форуме "Обсудим "СофтТерру"