Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > "Доктор Веб": Win32.Polipos продолжает заражать Р2Р

"Доктор Веб": Win32.Polipos продолжает заражать Р2Р

Четверг, 20 апреля 2006 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Служба вирусного мониторинга компании "Доктор Веб" информирует об опасном полиморфном вирусе Win32.Polipos, который уже в течение месяца распространяется по различным пиринговым сетям.

Началось распространение Win32.Polipos в марте этого года. Помимо сложного полиморфного механизма, реализованного в вирусе, в нем содержится и опасная функция "нейтрализации" целого ряда антивирусных программ и прочих средств безопасности. С легкостью распространяясь по P2P-сетям, вирус проникает на подключенные машины, и, будучи запущенным, скрытно делает их участниками общедоступной P2P-сети.

Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы "покрывая тело файла-жертвы собственными пятнами". При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код, сдвигая секцию ресурсов - при ее наличии - "вниз". При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным образом, стартовым адресом вируса.

При запуске вирус внедряет свой код во все запущенные процессы. Исключение составляют процессы со следующими именами: savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll smss, csrss, spoolsv, ctfmon, temp. Таким образом, в памяти оказываются несколько копий вируса, каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и пр. Зараженные файлы становятся общедоступными для участников этой сети.

Резидентные копии Win32.Polipos перехватывают следующие API функции: ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW. При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве с оверлеями (sfx-архивы, файлов инсталляции и т.п.) вирус пытается создать оригинальную копию файла во временном каталоге с именем ptf*.tmp, которую и запускает. Это делается для обхода контроля целостности, используемого некоторыми инсталляторами.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 861
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

18: 20
Старушка метнула монеты в движок самолёта и сорвала полёт |
18: 20
Появились первые тесты 3D-карт Nvidia P106-100 для майнинга |
18: 20
Motorola официально вернулась на российский рынок |
18: 20
Скидка 100%: 5 временно бесплатных приложений |
18: 20
Противостояние Porsche и Tesla на дороге: видео |
17: 40
Toshiba планирует инвестировать 1,6 млрд долларов в фабрику Fab 6 |
17: 40
Спиннер против раскалённого гидравлического пресса |
17: 40
Роскомнадзор согласился внести Telegram в реестр организаторов распространения информации |
17: 20
Основатель интернет-магазина KupiVIP Оскар Хартманн вошёл в совет директоров «Альфа-банка» |
17: 00
Первый раз в Питере. Куда сходить и что делать? |
16: 20
Исследователи "отложили" восстановление озонового слоя на 30 лет |
16: 00
Xiaomi перекрасила смартфон Mi Max 2 в черный цвет |
16: 00
Тонкий игровой ноутбук ASUS ROG Zephyrus доступен для приобретения |
16: 00
Смартфон Moto Z2 Play обзавелся российской ценой |
16: 00
Getac A140 — защищенный планшет с большим экраном |
16: 00
Анонсирован умный браслет Huawei Honor Band 3 |
16: 00
Intel отправила накопители 545s в продажу |
16: 00
Бренд Lexar остался в прошлом |
16: 00
В 2020 году Apple выпустит очки дополненной реальности — аналитик |
16: 00
Кладбище «единорогов»: почему инвестиции в борьбу с болезнью Альцгеймера так часто сгорают |
15: 40
Ericsson отказывается от выхода за пределы рынка телекоммуникационного оборудования |
15: 40
Юбилейная распродажа в интернет-магазине TomTop |
15: 40
Qualcomm представила экранный сканер отпечатков пальцев |
15: 40
Госдуме предложили отменить внутренний роуминг по России |
15: 40
Qualcomm сделала сканер отпечатков в дисплее. Ждём в iPhone 8 |
15: 00
В этом году ожидается выпуск объектива Nikon AF-S Nikkor 200-400mm f/4E ED VR |
15: 00
Apple перестала подписывать iOS 10.3.1, откатиться на предыдущую версию невозможно |
14: 40
Госдума может отменить роуминг по России |
13: 40
Спрос на видеокарты для добытчиков криптовалюты позволит Gigabyte нарастить продажи во втором и третьем кварталах 2017 |
13: 40
В Diablo III вышло дополнение «Возвращение некроманта» |
13: 00
Футзальный мяч — это вам не футбольный мячик! |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Апрель 2011: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30