[ksoft] Вирус Win32.Polipos атакует через пиринговые сети
Привет, All!
Компания "Доктор Веб" сообщила об обнаружении опасного
вируса, расползающегося по пиринговым сетям. Полиморфный
червь Win32.Polipos начал распространяться в марте этого
года, и был добавлен в вирусную базу антивируса Dr.Web.
Помимо сложного полиморфного механизма, реализованного в
вирусе, в нем содержалась и опасная функция
"нейтрализации" целого ряда антивирусных программ.
Вирус заражает исполняемые файлы Windows, записывая код
полиморфного расшифровщика в неиспользуемые
пространства кодовых секций. При этом вирус создает новую
секцию и размещает в ней свой основной зашифрованный код,
сдвигая секцию ресурсов - при ее наличии - "вниз".
При внедрении в файл он не изменяет оригинальную точку
входа, а подменяет адреса вызовов API, выбранных случайным
образом, стартовым адресом вируса.
При запуске вирус внедряет свой код во все запущенные
процессы за некоторыми исключениями. Таким образом, в
памяти оказываются несколько копий вируса, каждая из
которых отвечает за определённую деятельность: поиск
подходящих файлов для заражения, непосредственное
заражение файлов, функции работы с пиринговыми сетями на
протоколе Gnutella и другие.
