На этой неделе в почтовой рассылке Focus Virus появилось несколько сообщений о заражении компьютеров вирусом ZombieMist, который впервые появился около года назад. Эксперты в области антивирусных технологий считают ZombieMist самым совершенным и сложным для обнаружения вирусом. Дело в том, что для маскировки вирус использует совершенно новый прием, названный «интеграцией в код». В компании Symantec установили, что вирус умеет декомпилировать исполняемые файлы и внедрять в них свой код, захватывая с этой целью до 32 Мб ОЗУ. В результате, можно сказать, что пораженный файл сам становится вирусом, при этом зараженная программа продолжает нормально работать. Таким образом, обнаружить вирус путем эвристического анализа файлов становится весьма сложно, к тому же, для дополнительной маскировки в ZombieMist используются элементы полиморфизма. Кстати, по некоторым данным, этот вирус был написан россиянином, скрывающимся за псевдонимом Zombie.

Для распространения ZombieMist использует метод «лобовой атаки»: вначале поражаются исполняемые файлы из папок, указанных в строке «Path» файла autoexec.bat, а затем наступает очередь всех программ на локальных и сетевых дисках. Тем не менее, тревога может оказаться ложной, так как обе компании, сообщившие о заражении ZombieMist, пользуются антивирусной программой AVP, некоторые версии которой в свое время принимали за этот вирус вполне безобидные файлы. С другой стороны, имеются данные о том, что ZombieMist проверяет систему на наличие AVP и пытается блокировать работу этой программы.



Оставить мнение