Вирус Magistr: "I love you" и "Чернобыль" отдыхают

        "Лаборатория Касперского" предупредила об обнаружении нового компьютерного вируса Magistr, распространяющегося по электронной почте и ресурсам локальных сетей и использующего крайне сложные технологии сокрытия своего присутствия на зараженных системах. Судя по комментариям в коде вируса, он создан неким шведским хакером по кличке The Judges Disemboweler.
        Лаборатория Касперского уже получила несколько сообщений о фактах обнаружения вируса в "диком" виде.
        Magistr может проникнуть в компьютер тремя основными способами. Во-первых, через письма электронной почты, в случае если пользователь запустил зараженный вложенный файл. Во-вторых, через локальную сеть, заражая файлы на доступных ресурсах серверов и других компьютеров. В-третьих, в процессе обмена файлами с использованием мобильных накопителей.
        Сразу же после запуска инфицированного файла вирус начинает внедряться в систему, в рассылки, и через определенное время начинает ощущаться его разрушительное действие.
        После запуска "Magistr" заражает все файлы форматов PE EXE и SCR в каталогах "Windows", "WinNT", "Win95" и "Win98" всех локальных дисков. После этого он сканирует все доступные сетевые ресурсы и снова ищет те же каталоги и заражает обнаруженные там файлы. В процессе внедрения в файлы вирус использует ряд исключительно сложных методов, что значительно осложняет процедуру его обнаружения и удаления. Для этого тело вируса разделяется на три части, две из которых шифруются полиморфным кодом, так что зараженный файл выглядит следующим образом: Magistr_rus.bmp .
        Таким образом, после запуска зараженного файла, вирус перехватывает его выполнение в точке входа и переадресовывает обработчик на код вируса. И только после окончания выполнения основного кода вируса управление снова передается оригинальной программе.
        Для обеспечения своего постоянного присутствия в системе, Magistr модифицирует конфигурационный файл Windows WIN.INI и системный реестр таким образом, что вирус активизируется каждый раз при запуске операционной системы. При заражении сетевых ресурсов вирус модифицирует только WIN.INI.
        Magistr содержит исключительно опасную деструктивную функцию. Через 1 месяц после заражения компьютеров под управлением Windows NT/2000 вирус уничтожает все файлы на локальных и сетевых дисках, записывая в них фразу "YOUARESHIT". В дополнение к этому, на компьютерах с установленной Windows 95/98/ME вирус сбрасывает данные в памяти CMOS (CMOS содержит аппаратные параметры загрузки компьютера) и, подобно вирусу "Чернобыль" (CIH), уничтожает содержимое микросхемы FLASH BIOS.
        Кроме того, в зависимости от ряда условий, вирус запускает еще одну процедуру, вызывающую эффект "убегающих иконок": при установке указателя мыши на какой-либо иконке рабочего стола она тут же меняет свое местоположение, так что пользователь не в состоянии запустить соответствующую ей программу: Magistr_icons.bmp.
        "В данном случае мы имеем дело с весьма сложным и технологически продвинутым вирусом, впитавшем в себя все наиболее эффективные методы распространения, заражения, маскировки и самые опасные деструктивные функции, - комментирует Денис Зенкин, руководитель информационной службы Лаборатории Касперского. - По сути дела, Magistr - это результат успешного скрещивания бешеной скорости распространения вируса ILOVEYOU и разрушительного воздействия "Чернобыля".