09/05/2001 | Майдан

Вирус Magistr стал еще опаснее


"Лаборатория Касперского", российский разработчик систем информационной
безопасности, выпустила сегодня предупреждение об обнаружении новой
модификации опасного вируса Magistr, сообщает Cnews.

"В Magistr.b используется существенно переработанный алгоритм шифрования
кода вируса. Из-за этого ни один из известных нам антивирусных сканеров не
смог опознать новую модификацию вируса даже при включенном
эвристическом анализаторе кода", - комментирует Евгений Касперский,
руководитель антивирусных исследований компании.

Эту модификацию характеризуют новые исключительно опасные побочные
действия, а также значительно переработанные процедуры распространения
вируса по локальной сети и электронной почте. Помимо уничтожения всех
файлов на локальных и сетевых дисках, сброса данных в памяти CMOS
(аппаратные параметры загрузки компьютера) и порчи содержимого
микросхемы FLASH BIOS, Magistr.b перезаписывает файлы-загрузчики
операционной системы WIN.COM и NTLDR, так что при следующих
перезагрузках компьютера все данные на локальных и сетевых дисках будут
удалены. В процессе поиска целевых файлов для внедрения в них своих копий
вирус также уничтожает файлы с расширением .NTZ. В случае, если на
компьютере обнаружена программа ZoneAlarm (персональный межсетевой
экран), то она автоматически отключается.

Чтобы получить адреса электронной почты для последующей рассылки им
своих копий, Magistr.b сканирует базы данных почтовых программ Eudora, Outlook
Express, Netscape Messenger, Internet Mail и адресную книгу Windows. В
дополнение к файлам форматов .DOC и .TXT, вирус может прикреплять к
рассылаемым им зараженным письмам файлы .GIF.

Также расширен диапазон поиска доступных сетевых ресурсов для внедрения
на них копии вируса. Для этого Magistr.b последовательно перебирает
следующие имена: WINNT, WINDOWS, WIN95, WIN98, WINME, WIN2000, WIN2K,
WINXP. Все это делает процесс распространения вируса гораздо более
эффективным и значительно увеличивает его успешность.

"Сегодня первый вариант Magistr уверенно занимает верхние места в списках
наиболее распространенных вредоносных кодов, уступая только
интернет-червю SirCam. Не вызывает сомнения, что новая модификация вируса
обладает большим потенциалом для распространения по сравнению с
оригиналом, и в перспективе она может вызвать глобальную эпидемию", -
сказал Денис Зенкин, руководитель информационной службы "Лаборатории
Касперского".

Как ранее отмечала "Лаборатория Касперского", Magistr принадлежит к
категории так называемых "спящих" вирусов. Эта разновидность ничем себя не
проявляет до тех пор, пока не наступает время активизации ее деструктивной
функции. Оригинальная версия вируса подтвердила прогнозы компании и уже
через месяц с момента ее обнаружения заняла первые места в рейтингах
вирусной активности. "Лаборатория Касперского" добавила процедуры защиты
от вируса Magistr.b в обновления своего "Антивируса" 3 сентября.