Служба вирусного мониторинга компании “Доктор Веб” информирует всех пользователей пиринговых сетей об опасном полиморфном вирусе Win32.Polipos, который уже более месяца распространяется по различным P2P-сетям и поражает исполняемые файлы Windows.
Вредоносное действие данного кода заключается в том, что заражённые им файлы без ведома их владельцев становятся общедоступными для пользователей пиринговых сетей.
При запуске вирус внедряет свой код во все запущенные процессы. Исключение почему-то составляют процессы с именами savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll, smss, csrss, spoolsv, ctfmon и temp. Таким образом, в памяти оказываются несколько копий вируса, каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P-сетями и т. д.
Резидентные копии Win32.Polipos перехватывают следующие API функции: ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW. При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве с оверлеями (sfx-архивы, файлов инсталляции и т. п.) вирус пытается создать оригинальную копию файла во временном каталоге с именем ptf*.tmp, которую и запускает. Это делается для обхода контроля целостности, используемого некоторыми инсталляторами.
Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы покрывая тело файла-жертвы собственными пятнами. При этом вирус создаёт новую секцию и размещает в ней свой основной зашифрованный код, сдвигая секцию ресурсов — при её наличии — “вниз”. При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным образом, стартовым адресом вируса.
Специалисты “Доктора Веба” утверждают, что данный вирус содержит функцию нейтрализации целого ряда антивирусных программ и прочих средств безопасности и характеризуется исключительно сложным полиморфным механизмом, сильно затрудняющим процесс обнаружения и лечения заражённых им файлов.
По их словам, несмотря на то, что присутствие Win32.Polipos в P2P-сетях не является ни для кого новостью уже более месяца, пакет Dr.Web до последних дней был единственным, кто его детектировал. Интересно отметить, что в самом начале эпидемии пользователи Dr.Web не верили предупреждениям данного антивируса и сетовали на то, что он якобы срабатывает на абсолютно чистые файлы. Важно отметить, что для лечения файлов, зараженных вирусом Win32.Polipos, не требуется скачивания никаких дополнительных утилит — всё осуществляется средствами самой программы Dr.Web. Разумеется, при условии своевременного обновления вирусных баз.
