Igiho stránka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor

Win32/Magistr

Win32:Magistr je velmi nebezpečnou kombinací wormu a viru, která se objevila během měsíce března 2001. Šíří se pomocí infikované přílohy elektronické pošty a také napadá programy Windows na lokálních i sdílených discích.

Virus obsahuje velmi nepříjemnou a nebezpečnou manipulační rutinu: je za určitých podmínek schopen vymazat data na pevných discích, smazat paměť CMOS a přepsat paměť Flash Bios. K tomu používá kód, který je velmi podobný kódu viru Win95:CIH. Win32:Magistr je napsán v programovacím jazyce Assembler a je dlouhý skoro 30Kb. Využívá dvě různé polymorfní metody.

Po spuštění napadeného programu se virus instaluje do paměti a pak běží na pozadí. Aktivuje se až po několika minutách, takže propojení mezi jeho aktivitou a spuštěním infikovaného programu není na první pohled zřejmé. Virus se instaluje do systému jako komponenta procesu EXPLORER.EXE. Virus pak náhodně napadne jeden soubor v adresáři Windows a zaregistruje tento soubor tak, že je spouštěn při každém spuštění Windows.

Virus se pak pokusí napadnout všechny programy typu Win32 PE - napřed v adresářích Windows a poté na všech lokálních discích a pak i na discích sdílených v lokální počítačové síti. Na sdílených discích se pokusí zajistit svoji aktivaci na daných počítačích zápisem řádku s příkazem  run= do souboru WIN.INI.

Win32:Magistr napadá soubory PE velice komplikovaným způsobem. Složitě modifikuje vstupní bod programu tak, že se běh programu nakonec dostane až ke konci souboru, kde se nachází vlastní zašifrovaný virus.

Virus pak zjišťuje, jaké emailové klienty jsou na daném počítači (Outlook Express, Netscape Messenger, Internet Mail and News) nainstalovány, a přečte z nich seznam emailových adres. Posílá sám sebe pomocí vlastní SMTP rutiny. Virem vytvořené zprávy nemusí mít žádné tělo (tj. neobsahují žádný text) nebo obsahují texty náhodně shromážděné ze souborů DOC a TXT, které virus nalezl na lokálních discích. To samé se týká i předmětu zprávy. Jméno připojeného souboru je proměnné, ale vždy má rozšíření EXE nebo SCR.

Win32:Magistr občas uživateli ukáže svoji přítomnost: pokud je kursor myši posunut na ikonu na Desktopu, virus ikonu přemístí. Vypadá to pak, že ikona před kursorem uhýbá.

Měsíc po napadení počítače virus spustí svoji destrukční rutinu, která přepíše všechny soubory na lokálních i sdílených discích textem "YOUARESHIT". Pod systémy Win9x se také pokusí vymazat paměť CMOS a přepsat paměť Flash Bios.

Pak virus zobrazí následující zprávu:

Another haughty bloodsucker....... YOU THINK YOU ARE GOD , BUT YOU ARE ONLY A CHUNK OF SHIT

Virus obsahuje i "copyright" autora:

ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler.  by: The Judges Disemboweler.  written in Malmo (Sweden)


Zdroj: Alwil software - výrobce antiviru AVAST


Win32/Magistr.B, změny oproti Win32/Magistr.A:

  • Modifikuje systémové soubory (OS-loaders) WIN.COM a NTLDR takovým způsobem, že za jistých okolností jsou po příštím restartu smazána všechna data na lokálních i dostupných síťových discích.
  • Při hledání vhodného souboru k infikaci likviduje soubory s příponou .NTZ .
  • Pokud zjistí přítomnost personálního firewallu "ZoneAlarm", deaktivuje jej.
  • Umí prohledávat databáze e-mailových adres programů Eudora, Outlook Express, Netscape Messenger, Internet Mail a Windows address book.
  • Kromě souborů s příponami .DOC a .TXT umí pro své šíření zneužívat také soubory s příponou .GIF.
  • Systémové adresáře hledá v následujích adresářích: WINNT, WINDOWS, WIN95, WIN98, WINME, WIN2000, WIN2K a WINXP
  • Win32/Magistr.B navíc část udajů nutých k odléčení napadených souborů šifruje kličem, který vztváří z údajů dostupných pouze v infikovaném prostředí konkrétního počitače, což znesnadňuje jejich dezinfekci.


    Zdroj: AEC, Data Security Company


    Zpět