Новый клон червя Beagle - опасный полиморфик заражает практически все исполняемые файлы на компьютере.

14 марта 2004

[14.03.2004]

Служба мониторинга вирусной активности ЗАО 'ДиалогНаука' сообщает о новой модификации почтового червя массовой рассылки из семейства Beagle, определяемом антивирусными программами DRWEB_REG как Win32.HLLM.Beagle.38550. Эта модификация является, бесспорно, очередным этапом длящегося уже почти 2 недели соревнования авторов червей семейства Win32.HLLM.Beagle с антивирусными компаниями.

Как известно, в червях этого семейства применяется относительно новый метод борьбы с детектированием их антивирусными программами - архив, в котором рассылается вредоносный код, защищен паролем и таким образом недоступен для сканирования стандартными методами. Применение различных паролей приводит к постоянному изменению файлов архивов со вложенным вирусом, что затрудняет включение их сигнатуры в вирусную базу.

Мы уже сообщали о том, что в антивирусной Лаборатории Игоря Данилова было найдено оригинальное решение, позволяющее детектировать червя даже в запароленных архивах. Однако нынешний вариант червя представляет собой еще более сложную задачу - теперь пароль приводится в письме не в виде текста, а в виде графического изображения. Эта задача была решена вирусными аналитиками Лаборатории незадолго до полудня 14 марта, тогда же было выпущено очередное горячее дополнение.

С точки зрения своего распространения червь мало чем отличается от предыдущих вариантов - он также может прийти на компьютер вместе с письмом якобы от интернет-провайдера, в котором сообщается о временном закрытии почтового адреса пользователя. Для получения более подробной информации пользователю предлагается прочитать прилагаемый файл, защищенный для большей безопасности паролем, который тут же и приводится в письме в графическом виде. Сам файл не является текстовым документом, а представляет собой не что иное, как исполняемый модуль, который и может быть запущен неосторожным пользователем. Это и будет моментом заражения компьютера, после чего пользователь не сможет воспользоваться целым рядом антивирусных программ и средств безопасности, список которых серьезно увеличился по сравнению с предыдущими вариантами.

Кроме того, червь имеет еще одну важную деструктивную особенность - в процессе поиска на жестких дисках пораженного компьютера адресов для своего распространения по почте, он заражает обнаруженные исполняемые файлы с расширением EXE, добавляя в конец файлов зашифрованную копию самого себя. В вирусную базу антивируса DRWEB_REG уже добавлен алгоритм обнаружения полиморфной части инфицированных таким образом файлов и лечения этих файлов.

Более подробную информацию о черве Вы сможете прочитать на нашем сайте позднее.

9
;