Новый опасный вирус Zhengxi обнаруживается только сканером Doctor Web

[11.03.99]

Новый опасный вирус продолжает гулять по миру!

От пользователей продолжают поступать сообщения о заражениях новым опасным вирусом. Вирус был недавно обнаружен автором популярного антивируса-сканера Doctor Web Игорем Даниловым. Необычная особенность этого вируса - способность распространяться в HLP-файлах Windows! Кроме того, он распространяется в исполняемых файлах Windows 95/98 и в архивах ARJ, HA, RAR и ZIP форматов.

Вирус очень опасен, поскольку при попытке запуска ряда антивирусных программ (в том числе, Doctor Web, если его исполняемый модуль drweb.exe не был предусмотрительно переименован пользователем) вирус уничтожает все файлы на всех логических дисках компьютера.

Сегодня вирус обнаруживается только одним сканером - Doctor Web! Другие сканеры его не видят! Это связано с очень нетривиальным механизмом заражения файлов, при котором вирус не модифицирует начало программного кода, а внедряется в его середину, в случайно выбираемую область одной из программных функций, которая скорее всего, при определенных обстоятельствах будет вызвана на исполнение. При запуске такого зараженного файла вирусный код может никогда не получить управления, если программная функция, в которой он "поселился", не будет вызвана самой программой. Вирус может "годами жить" в таком файле, пока, наконец, сама программа или пользователь, управляющий ею, не выполнят каких-либо действий (например, нажмет кнопку F1), повлекших за собой передачу управления той программной функции, на месте которой и "живет" этот самый вирус.

Такой механизм внедрения в файлы ранее был реализован в очень сложных полиморфных вирусах семейства Zhengxi, появившихся в Санкт-Петербурге еще в 1995 году. До сих пор фактически единственным средством борьбы с ними является антивирус Doctor Web, в котором Игорь Данилов применил специальный метод глубокого (deep) сканирования. Тогда благодаря оперативной реакции Doctor Web эпидемия вирусов Zhengxi была остановлена в зародыше и вирусы далеко не разошлись.

Вероятно, поэтому другие разработчики антивирусов, столкнувшись с очень серьезными трудностями, не уделили должного внимания вирусам Zhengxi, посчитав их чисто коллекционными. И до настоящего времени очень немногие сканеры научились, в принципе, ловить такие вирусы. Причем, обнаружение их удается только в случаях, когда либо вирус поселяется в начале файла (что бывает далеко не всегда, и значит, такое обнаружение очень ненадежно), либо антивирус использует режим избыточного (redundant) сканирования (что замедляет работу сканера в десятки раз, и значит, такое сканирование просто никем не используется). В то же время, Doctor Web надежно обнаруживает все эти вирусы, причем в стандартном режиме работы.

Напомним, что Doctor Web (а точнее, его автор Игорь Данилов) всегда отличался особой "любовью" к сложным полиморфным вирусам. Этот факт неоднократно отмечался в международных тестах антивирусных программ-сканеров. И вот, в частности, такая щепетильность ранее в отношении экзотических вирусов Zhengxi позволила теперь Игорю Данилову оперативно отреагировать на появление нового вируса. Уже 16 февраля 1999 года программа Doctor Web 4.04 (как традиционна 16-битная версия, так и 32-битная бета-версия) умела его обнаруживать. Однако, ни одна из других антивирусных программ-сканеров пока не научилась этого делать. В этом свете, распространенное требование к современным сканерам об изготовлении "лекарства" за 48 часов выглядит несколько поспешным.

Всем подписчикам ЗАО "ДиалогНаука" или его дилеров мы настоятельно рекомендуем обязательно получить свежую (не ниже 4.04) версию Doctor Web, если это еще не проделано. И конечно, переименовать полученный исполняемый модуль, чтобы предотвратить возможную паническую реакцию вируса на запуск антивируса.

Получить свободно-распространяемую версию DrWeb for Win32 v4.04 beta можно на ftp-серверах:

• ftp://ftp.DialogNauka.ru/dsav/russian/drweb32b/drw32rus.zip
• ftp://ftp2.DialogNauka.ru/dsav/russian/drweb32b/drw32rus.zip
• ftp://ftp3.DialogNauka.ru/dsav/russian/drweb32b/drw32rus.zip
• ftp://ftp.freeware.ru/pub/mycomputer/antivirus/drw32rus.zip

Кроме того, напоминаем, что вместо получения программы Doctor Web к себе, на свой компьютер, можно свободно проверить отдельные файлы на вирусы непосредственно на нашем сервере.

Ниже приводится краткое описание вируса, подготовленное Игорем Даниловым. С более подробным его описанием можно познакомиться на сервере ЗАО "ДиалогНаука".

Информационная служба ЗАО "ДиалогНаука"
E-mail: Antivir@DialogNauka.ru
WWW: http://www.DialogNauka.ru

---

Win95.SK.7977

Очень опасный резидентный полиморфный вирус, заражающий файлы в формате PortableExecutable (исполняемые файлы для Windows 95/98), файлы помощи для Windows 95/98 (HELP-файлы), а также внедряющий свои копии в архивные файлы ARJ, HA, RAR и ZIP форматов.

При заражении PE-файлов вирус Win95.SK.7977 не изменяет стартовый адрес программы. Вместо этого он сканирует содержимое стартовой секции программы для поиска некоторых последовательностей байт. Как правило, такие последовательности присутствуют во всех программах, созданных с помощью компиляторов языков высокого уровня (Pascal, C++, ...). Причем, такими инструкциями (например, "PUSH EBP; MOVE EBP,ESP") обычно начинаются программные функции.

Если требуемые байты обнаружены, проверятся условие, чтобы найденная якобы программная функция была не менее 168 байт (в пределах 168 байт не должно быть инструкции возврата - RET). В случае успеха вирус запоминает адрес этой функции (адрес обнаруженной последовательности байт) и продолжает свой дальнейший поиск. После такого сканирования, если была найдена хоть одна подходящая для вирусного внедрения функция, выбирается случайный из всех зафиксированных вирусом адресов функций.

Если вирус не смог найти ни одной подходящей ему процедуры, то он выбирает для внедрения своего кода стартовый адрес программы. В выбранное место помещается до 168 байт полиморфного кода, который расшифровывает основной вирусный код. Термин "полиморфный" означает, что программа состоит из случайной последовательности инструкций, котора выбирается заново при заражении каждого файла. Таким образом, дл обнаружения вируса антивирусной программе необходимо сканировать значительную часть кода программ в поиске неизвестно чего.

Резидентный код вируса подключается к файловым операциям и при обращении к файлам с расширениями EXE, DLL, SCR или HLP пытается их инфицировать.

Инфицированные HELP-файлы, пользуясь средствами макрокоманд, создают на диске C: и запускают на исполнение программу со случайным именем длиной в 380 байт. Эта программа, получив в качестве параметра имя породившего ее файла, находит в нем зашифрованное тело вируса, расшифровывает его, и передает ему управление. А тот оставляет в памяти свою резидентную копию, если такой еще нет.

Следует отметить, что заражение любого файла (исполняемого, архива или файла помощи) вирус производит только через минуту после предыдущего заражения.

Win95.SK.7977 очень опасен. При открытии программ, начинающихся на "ADIN" или "AVPI", а также, с большой долей вероятности, при открытии файлов, начинающихся на "_AVP", "AVP", "VBA" или "DRW" вирус уничтожает все файлы на всех логических дисках компьютера, после чего "завешивает" систему, вызывая системную функцию Fatal_Error_Handler. Удаляет файл WINDOWSCOMMAND.PIF.

И. Данилов

---

Copyright © 1999, ЗАО ДиалогНаука