| Компания "Доктор Веб" сообщила об обнаружении опасного вируса, расползающегося по пиринговым сетям. Полиморфный червь Win32.Polipos начал распространяться в марте этого года, и был добавлен в вирусную базу антивируса Dr.Web. Помимо сложного полиморфного механизма, реализованного в вирусе, в нем содержалась и опасная функция "нейтрализации" целого ряда антивирусных программ. Вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций. При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код, сдвигая секцию ресурсов - при ее наличии - "вниз". При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным образом, стартовым адресом вируса. При запуске вирус внедряет свой код во все запущенные процессы за некоторыми исключениями. Таким образом, в памяти оказываются несколько копий вируса, каждая из которых отвечает за определённую деятельность: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с пиринговыми сетями на протоколе Gnutella и другие.
|
