ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
Обнаружен первый компьютерный вирус, внедряющийся на самый высокий уровень безопасности Windows NT "Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, сообщает об обнаружении первого в мире компьютерного вируса, внедряющегося на самый высокий уровень безопасности Windows NT - область системных драйверов.
✐ место для Вашей рекламы
Эта особенность делает вирус труднодоступным для лечения в памяти многими антивирусными программами.
Вирус был прислан 7 октября клиентами "Лаборатории Касперского", жаловавшимися на странное поведение их компьютерных систем. Детальный анализ подозрительных объектов подтвердил наличие в них нового вируса "Infis". Технические подробности Общая характеристика "Infis" является резидентным файловым вирусом, который работоспособен только под Windows NT версии 4.0 с предустановленным Service Pack 2, 3, 4, 5 или 6.
Вирус не заражает системы под управлением Windows 9x, Windows 2000 и другие версии Windows NT. Симптомы заражения Основным симптомом заражения является невозможность запустить некоторые программы. Например, MSPAINT.EXE, CALC.EXE, CDPLAYER.EXE и ряд других. По причине некорректного заражения вирус портит содержимое этих файлов. Другим признаком присутствия вируса на компьютере является файл INF.SYS в каталоге /WinNT/System32/Drivers.
Инсталляция При запуске зараженного файла вирус копирует из него свой код, записывает его в виде отдельного файла INF.SYS в каталог драйверов Windows \WinNT\System32\Drivers. Затем "Infis" создает в системном реестре ключ с тремя секциями: \Registry\Machine\System\CurrentControlSet\Services\inf Type = 1 - стандартный драйвер WinNT Start = 2 - режим старта драйвера ErrorControl = 1 - игнорировать ошибки В результате копия вируса в файле INF.SYS активизируется при каждом перезапуске Windows NT. При активизации файла INF.SYS запускается процедура заражения памяти Windows, которая выделяет необходимый вирусу блок памяти и перехватывает внутренние (недокументированные) функции этой операционной системы.
Вирусный перехватчик обрабатывает только открытие файлов, затем проверяет их имена и внутренний формат и вызывает процедуру заражения. Заражение Вирус заражает все PE (Portable Executable) EXE-файлы, за исключением CMD.EXE (командный процессор Windows NT). При заражении вирус увеличивает размер файла на длину своего "чистого кода" - 4608 байт. "Infis" избегает повторного заражения файлов, распознавая их по записанному ранее в поле "дата и время" значению -1 (FFFFFFFFh).
Проявление "Infis" не оказывает никакого разрушительного воздействия на зараженные компьютеры. Однако процедура заражения файлов содержит ряд ошибок, из-за которых вирус портит некоторые файлы при попытке внедрения в них. При запуске испорченные файлы вызывают стандартное сообщение Windows NT об ошибке в приложении: Процедуры обнаружения и удаления вируса "Infis" содержатся во внеочередном обновлении антивирусных баз AVP, доступном на корпоративном WWW сайте "Лаборатории Касперского" по адресу http://www.avp.ru.
Более подробная информация о вирусе "Infis" и тысячах других вредоносных программ содержится в Вирусной Энциклопедии AVP по адресу http://www.viruslist.com.
Опубликовано: 8 октября 1999 г.
Ключевые слова: нет
Извините, комментариев пока нет
|