Новое поколение вирусов. Год назад это казалось фантастикой.

[Рысь]

Вчера на ЛАНовском внутреннем форуме написал парень из нашей сетки (Groovy), боровшийся с вирусом две недели!

За две недели с помощью спецов из лаборатории Касперского он вроде бы разобрался, что это такое... На Viruslist.com появилось частичное описание уже. Название не знаю.

Ниже - краткое описание признаков етого нового поколения... Я понимаю, что кому-то все ето будет скучно и неинтересно, но многих заинтересует... Как убивать такие вирусы - непонятно. Пока четкого способа их лечения нет (если заразился). А он уже гуляет по сетям....

1) Вирусяка представляет новый вид гибридных - "высокой сложности". Объединяет в себе NewExe-вирус, Stoned-вирус, файлово-резидентно-загрузочные вирусы (в т.ч. под DOS).

2) Состоит из 8 частей: 6 из которых файловые, 1 - загрузочная область зараженного носителя, 1 - область двоичных данных зараженного носителя. Начинает "светиться" и распространяться после сборки всех 8 частей. Части распространяются автономно. Файловые - обычным путем (сети, носители), последние 2 только на носителях (Hdd, fdd, cd). Переносяться на CD только с файловой системой CDFS версии 1.3 и выше.

3) Не обнаруживаеться известными антивирусами ввиду того, что объединяеться только в оперативке под видом дополнения к процессам System, Lsass, Winlogon, Csrss. (При наблюдении в диспетчере размер процесса Lsass "мечеться" от 500 Кб до 2Мб, напоминает постоянно обрывающуюся докачку). Есть вероятность обнаружения программой KL Anti-FuneLove от Kaspersky Lab, как worm.win32.Opasoft.h в процессе распространения.

4) Имеет тела win32.Opasoft.s, win32.Sasser.e, Stoned-неназванный (т.к. ничего не выводит и не привязан к таймерам), стелс-механизмы. Сам названия еще не имеет.

5) Stoned-часть вируса перехватывает 13-ое прерывание и записывает себя в MBR'ы и THA-таблицы доступных носителей. На Hdd прописываеться в данные области только на активном разделе и логическом другого Hdd, при условии его наличия - иначе в логический на том же Hdd.

6) тела Opasoft'a и Sasser'a приводят "ошибкам" нарушения безопасности lsass'a и отключают пользюка. NewExe части создают от имени процесса System нового пользователя с привелегиями \NT Authority\Прошедшие проверку, который загрузается раньше админа и проводит проверку целостности вируса и, если нужно, востанавливает убитые/отключенные компоненты. В процессе завершения работы системы (кнопка "выключить" или "Перезагрузка") бэкапиться в любые существующие файлы *.drv *.sys, которые будут участвовать в следующей загрузке.

7) При обнаружении антивирусного сканера создает "временную бомбу" (дописывает модуль расшифровки вируса к любому (ым) исполняемому (ым) файлам, который срабатывает в определенное время, которое состоит из реального + ~ 4-10000 мин.), шифрует себя и разбивает на кусочки (бэкапиться) , убивает свои текущие активные части, но оставляет процессы в оперативке. Соответственно, сканер пролетает мимо кассы.

8 ) Не убиваеться форматом, fdisk'ом, fixboot'ом, fixmbr'ом, PM80 и его службами.

9) В состоянии себя полностью восстановить из одного MBR'а и HTA с двоичными данными в процессе установки Винды.


КАК ВАМ? Это, имхо, уже можно назвать "интеллектуальными вирусами". Первое появление в инете WIN.opasoft (как я понимаю, главное тело) - 7 октября. За 2 недели спецы только-только разобрались, как он работает.
Имхо, смерть инета и сетей настанет быстро, если щщас пойдут такие вирусы косяками...

[Псих Виракс]

Ого-го... как передостерегаться? фаером?
Я не хочууу чтобы инет умер..

[Рысь]

Предостерегаться фаером, антивирусом и заплатками.
Я так понимаю, если хотя бы одна часть вируса не пролезет (тот же Sasser) - он не соберется...
Хотя что дальше будет... если ето только первая ласточка....

[Lobo]

Имхо, смерть инета и сетей настанет быстро, если щщас пойдут такие вирусы косяками...

Эту фразу мы уже слышим много лет, после каждого появления новой разновидности вирусов.  
Вероятней всего и  этом случае будет придумано эффективное протовоядие.
Хотя конечно впечатляет, Виталь...  :shock:

[Псих Виракс]

Zначит контрацепции никакой почти...Чтож остаеться только выбирать web-партнера...

[Рысь]

Саш, на моей памяти - впервые такая задержка между появлением нового вируса и появлением способа лечения от антивирусников.
21-7=14 дней уже прошло, а еще только-только разобрались в принципе работы. И то не факт, что все нюансы выявлены...

Посмотрим, канеш...

[Smoker]

Рыся как он хоть называетси то ?

[Рысь]

Дык нет еще названия. Только названия составляющих его вирусов...

[Lexx]

Да, столкнулся я с этим зверем.  Фаервол не помогает - однозначно. Каспер его не находит. Заплптки поверх системы и сканеры наличия вирусов - не помогли.  пришлось систему переставлять (был 2000, хотя на 2-ой машине стояла ХР со всем и заплатками от вышеописанных вирусов и, тьфу-тьфу, не пострадала.)

[[df]bios]

дык ета...по идее, бацилла, работающая через эксплойт, не может ничего сделать без наличия в системе стандартных компонент типа cmd, ftp, tftp и т.д...Я у себя ету лабудень посносил к монахам - и усё, никакие вирусы не лезуть.

[Blood_Angel_dls]

вот фашисты... а такой вопрос. как грамотно защититься от вирей. способы и описания этих способов,можете дать? в этом деле нуб...

[эffect]

вот фашисты... а такой вопрос. как грамотно защититься от вирей. способы и описания этих способов,можете дать? в этом деле нуб...

есть секретная разработка западных спец.служб, но не всем пока к сожалению доступная. называется: "антивирус", поищи информацию в интернете, иногда реально наткнутся!

[Blood_Angel_dls]

мда... оч смешно...я нуб,но не на столько. я имею ввиду что нибудь вспомогательное антивирю..


бацилла, работающая через эксплойт, не может ничего сделать без наличия в системе стандартных компонент типа cmd, ftp, tftp и т.д...

[Blood_Angel_dls]

блин,люди ну не издевайтесь,а? я же нормально попросил помощи... а вы... сложно помочь? тем более каждый знает и понял о чем я говорю....

[Рысь]

Купи лицензию на антивирус, поставь обновление антивирусных баз раз в 4 часа и периодически (раз в неделю хотя бы) смотри обновления на твою винду, устанавливай.
Этого достаточно.

Можно конечно убиваться файрволами, или вообще сетевой шнур выдернуть, но все равно с той же вероятностью заразишься новой вирусякой, так зачем париться ))

[konolay]

Обычно вирусы пишут те, кто пишет антивирусы. Купите антивирус, и будет вам счастье