Антивирусное подразделение компании Network Associates, Inc. на прошлой неделе сообщило об обнаружении нового вируса, которому было присвоено имя W32/Perrun. На фоне современного вирусописательства событие было бы мало примечательным, если бы не одно "но". А заключается оно в том, что это первый вирус, который для инфицирования использует файлы графического JPEG-формата, одного из наиболее массовых в Сети. Как сообщается на сайте компании, W32/Perrun - это типичный многокомпонентный вирус, написанный на Visual Basic 6. Он состоит из исполнимого файла размером 11780 байт и экстрактора размером 5636 байта, сжатых с помощью утилиты UPX.
Как обычно, вирус заражает компьютер при запуске файла, который содержит его код. При этом в текущую директорию копируется файл EXTRK.EXE, а в системный реестр добавляется запись: HKEY_CLASSES_ROOT\jpegfile\shell\open\command "(Default)" = (current directory)\EXTRK.EXE %1. Так что симптомами заражения этим вирусом являются модификация системного реестра и увеличение размера JPEG-файлов на 11780 байт. При запуске JPEG-файла экстрактор проверяет, заражен ли он. Если да, то извлекается и исполняется тело вируса. Затем экстрактор пытается открыть JPEG-файл с помощью системной DLL. Инфицируются файлы только текущей директории и только один файл за один запуск. Самостоятельно вирус не может поражать другие компьютеры и оценивается как неопасный. Но, как говорится, лиха беда начало. Так что благодушествовать в соответствии с известной формулой "Пярун не грымне - мужык не перахрысціцца" тут не стоит, ведь Сеть постоянно прокачивает "мегатонны" JPEG'ов, и что принесет вам один из них, теперь никто заранее знать не может.
С деталями можно ознакомиться по адресу vil.nai.com/vil/default.asp.
Сергей САНЬКО
Комментарии
Еще 2 года назад поймал у меня друг такую велелую штуку, которая переименовывала файла *.jpg в *.jpg.vbs, а внутренности файла забивала своим содержимым до исходного размера. ну юзвери соответственно и подумаь не могли, что появилось второе расширение - подумаешь, значок изменился. и запускали эти файлы, они не запускались, ну они на них забивали и запускали файлы из другой папки. только вирус-то и их портил...я в програмировании не силен, но в общих чертах - в коде было написано, что надо переименовывать файлы соответствующим образом таких-то расширений. остального я не понял, но в общем-то ясно. да, забыл сказать, там не только JPG переименовывался, но и МР3, и еще туча разных картинок. в итоге я удалил 1,5 тысячи файлов *.VBS после чего друг был доволен что хоть что-то осталось. через неделю погибло еще 500 файлов - порнушка на диксетах была, а мы их не проверили...
так вот, я гне дорубаю, что тут нового? то, что теперь это вирус, потому что он антивирусом обнаруживается, чтоль? а раньше был не вирус, а просто скрипт, потому что авп и дрвеб молчали? или в этом еще что-то особенное есть?