Исследователи обнаружили новый штамм вируса, который способен быстро
распространяться от одной машины к другой, используя для этого различные методы.
Среди них – отравление веб-серверов, которые после этого инфицируют посетителей.
Обнаруженный образец является одной из разновидностей быстро мутирующего
вируса, известного как Virut (или Virux). Он известен тем, что способен
встраиваться в исполняемые файлы, и затем распространяться на другие машины
через сетевые диски и USB-накопители.
Обнаруженный вариант, которому в Microsoft присвоили имя
Virus:Win32/Virus.BM, отличается способностью к заражению веб-скриптов,
написанных на языках PHP и ASP, а так же HTML-страниц. В зараженных серверах
обнаруживаются iFrame, через которые предпринимаются попытки заразить
посетителей. Такие iFrame скрытно перенаправляют пользователей на сайт zief.pl,
который при помощи многочисленных эксплоитов пытается найти уязвимость в
браузере или других приложениях. После установки вирус внедряется в различные
системные процессы (такие, как explorer.exe и winlogon.exe), а также
устанавливает хуки на низкоуровневые программные интерфейсы Windows, обеспечивая
себе постоянное присутствие в памяти.
Вирус полиморфен, что затрудняет его обнаружение антивирусными программами.
Помимо прочего, в нем используется многоуровневое кодирование, позволяющее
изменять сигнатуру вируса, сохраняя при этом функциональность. На зараженных
машинах устанавливается бэкдор, который соединяется с несколькими адресами через
80-ый порт. Детальный анализ данного вредоносного приложения доступен по
этому адресу.
