Накануне Комтека Игорю Данилову, ведущему вирусологу АО “ДиалогНаука”, автору программы Doctor Web, один пользователь прислал новый вирус, содержащий в своем теле текст “WANDERER, (c) P.Demenuk”. Вирус оказался сам по себе неопасным, но, к сожалению, показал принципиальную возможность маскироваться от антивирусов на гораздо более серьезном уровне, чем было возможно до сих пор.
Игорь Данилов (в центре) первым нашел противоядие от принципиально нового вируса
В частности, обнаружить резидентную копию этого вируса, находящегося в нулевом кольце защищенного режима процессора, обычными способами невозможно. Для обнаружения вируса в памяти необходимо переключаться в защищенный режим с наивысшими привилегиями и производить его поиск.
В процессе тестирования выяснилось, что при заражении нескольких тысяч файлов-жертв вирус проявил себя, как “жилец” - все зараженные файлы оказались работоспособными. Здесь надо только сделать оговорку: в случае если стек файлов после заражения окажется в области вирусного кода, они могут оказаться неработоспособными. PM.Wanderer при заражении файлов не корректирует значения стартовых SS:SP в EXE-заголовке. Вирус сохраняет способность к воспроизводству только в том случае, если в системе установлен драйвер EMS (EMM386). При установленном драйвере EMM386 с ключом NOEMS вирус перезагружает компьютер. Компьютер также может перезагрузиться, если в системе используется драйвер QEMM386.
Самое интересное заключается в том, что если в системе находился резидентный вирус, а потом произошла загрузка Windows 3.1x или Windows 95, то этот вирус не сможет размножаться в данных операционных средах, но при выходе в DOS он опять получает управление и может “трудиться не покладая рук”. Если же вирус будет запущен в DOS-сессии Windows, то из-за отсутствия интерфейса VCPI он не сможет переключиться в защищенный режим. Под OS/2 вирус нежизнеспособен также из-за отсутствия VCPI.
Новый вирус оказался первым вирусом (причем российским), использующим защищенный (виртуальный) режим работы процессора и не конфликтующим с операционными системами “от Microsoft”, работающими также в защищенном режиме.
Г-н Данилов проанализировал вирус, включил его обнаружение и лечение в очередное дополнение вирусной базы своего антивируса Doctor Web и на одном из семинаров Комтека предупредил пользователей о грозящей им опасности.
Более подробное описание вируса опубликовано на Web-сервере АО “ДиалогНаука”: http://www.dials.ccas.ru.
В. М.
