В Интернете появился опасный полиморфный вирус, носящий название Polipos, который уже в течение целого месяца распространяется по различным сетям типа Peer2Peer. Первые сообщения о вирусе были зарегистрированы в конце марта этого года. Помимо сложного полиморфного механизма, реализованного во вредоносной программе, в ней содержалась и опасная функция «нейтрализации» целого ряда антивирусных программ и прочих средств безопасности.
С легкостью распространяясь по P2P, вирус проникает на подключенные машины и, будучи запущенным, скрытно делает их участниками другой общедоступной сети.
«При запуске вирус внедряет свой код во все запущенные на компьютере процессы. Таким образом в памяти оказываются несколько копий вируса» Polipos заражает исполняемые файлы Windows, записывая вредоносный код в неиспользуемые пространства кодовых секций, как бы «покрывая тело файла-жертвы собственными пятнами». При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код.
При запуске вирус внедряет свой код во все запущенные на компьютере процессы. Таким образом в памяти оказываются несколько копий вируса, каждая из которых отвечает за определенную деятельность: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и других. Зараженные файлы становятся общедоступными для участников этой сети.
Безусловно, распространение подобного вируса вызвало беспокойство среди пользователей соответствующих P2P-сетей. Однако обращает на себя внимание довольно любопытное обстоятельство.
Несмотря на то что присутствие в P2P-сетях Polipos не является ни для кого новостью уже около месяца, антивирус Dr.Web до настоящего момента является единственным, кто его детектирует, заявили в пресс-службе компании «Доктор Веб». Специалисты «Лаборатории Касперского» в свою очередь не смогли дать комментарии по поводу этого вируса.
В середине марта также стало известно об эпидемии еще одного вируса, распространяемого через P2P. Червь Bagle-DO выдавал себя за фотографии обнаженной актрисы Кейт Бекинсейл или эротические фото известной наследницы короля гостиничного бизнеса Пэрис Хилтон и поп-звезды Бритни Спирс.
Как только инфицированный файл открывается, червь устанавливает себя на компьютер и ищет другие компьютеры в локальной сети и в сетях P2P с целью их заражения – через почтовые сообщения и одноранговые системы обмена файлами.
Еще раньше, в сентябре прошлого года, в Интернете появился червь P2Load.A, подменяющий собой самую популярную поисковую систему Google. Как и его «собратья», P2Load.А распространяется через P2P, а точнее, через пиринговые программы Shareaza и Imesh. При этом он маскируется под файлы компьютерной игры из серии «Звездных войн».
При запуске он отображает сообщение об ошибке, информирующее пользователя о том, что не найден определенный файл, и предлагает скачать его. При этом червь заражает компьютер и вносит две основные модификации: изменяет стартовую страницу, отображая рекламу, и подменяет интернет-поисковик Google.
Когда пользователь пытается воспользоваться поисковиком, его запрос перенаправляется на страницу, которая выглядит точно так же, как и Google, и даже выполняет схожие функции. Однако при этом в результатах поиска отображаются те сайты, которые хотели показать создатели червя, а не те, которые показал бы «официальный» Google.
Для лечения зараженных файлов не требуется скачивания никаких дополнительных утилит – большинство современных антивирусных программ эффективно борются с вирусами. Однако специалисты, как и во многих других случаях, настоятельно рекомендуют обновить антивирусные базы.
«Обязательным элементом защиты является постоянно обновляемое антивирусное ПО. Учитывая, что сейчас пишется все больше и больше вредоносных программ, неосторожные компьютерные пользователи могут подвергнуть свои данные большому риску», – говорит старший технический консультант компании Sophos Грэхем Клули.
Что же касается вируса Polipos - в настоящее время его можно идентифицировать и обезвредить только с помощью антивируса Dr.Web.
Механизм лечения этого вируса довольно сложен, поскольку требует обработки сложного алгоритма шифровки, поэтому порой на распознавание кода вируса может уходить довольно значительное (по компьютерным меркам) время.