Win32/Magistr

Win32:Magistr je velmi nebezpeΦnou kombinacφ wormu a viru, kterß se objevila b∞hem m∞sφce b°ezna 2001. èφ°φ se pomocφ infikovanΘ p°φlohy elektronickΘ poÜty a takΘ napadß programy Windows na lokßlnφch i sdφlen²ch discφch.

Virus obsahuje velmi nep°φjemnou a nebezpeΦnou manipulaΦnφ rutinu: je za urΦit²ch podmφnek schopen vymazat data na pevn²ch discφch, smazat pam∞¥ CMOS a p°epsat pam∞¥ Flash Bios. K tomu pou₧φvß k≤d, kter² je velmi podobn² k≤du viru Win95:CIH. Win32:Magistr je napsßn v programovacφm jazyce Assembler a je dlouh² skoro 30Kb. Vyu₧φvß dv∞ r∙znΘ polymorfnφ metody.

Po spuÜt∞nφ napadenΘho programu se virus instaluje do pam∞ti a pak b∞₧φ na pozadφ. Aktivuje se a₧ po n∞kolika minutßch, tak₧e propojenφ mezi jeho aktivitou a spuÜt∞nφm infikovanΘho programu nenφ na prvnφ pohled z°ejmΘ. Virus se instaluje do systΘmu jako komponenta procesu EXPLORER.EXE. Virus pak nßhodn∞ napadne jeden soubor v adresß°i Windows a zaregistruje tento soubor tak, ₧e je spouÜt∞n p°i ka₧dΘm spuÜt∞nφ Windows.

Virus se pak pokusφ napadnout vÜechny programy typu Win32 PE - nap°ed v adresß°φch Windows a potΘ na vÜech lokßlnφch discφch a pak i na discφch sdφlen²ch v lokßlnφ poΦφtaΦovΘ sφti. Na sdφlen²ch discφch se pokusφ zajistit svoji aktivaci na dan²ch poΦφtaΦφch zßpisem °ßdku s p°φkazem  run= do souboru WIN.INI.

Win32:Magistr napadß soubory PE velice komplikovan²m zp∙sobem. Slo₧it∞ modifikuje vstupnφ bod programu tak, ₧e se b∞h programu nakonec dostane a₧ ke konci souboru, kde se nachßzφ vlastnφ zaÜifrovan² virus.

Virus pak zjiÜ¥uje, jakΘ emailovΘ klienty jsou na danΘm poΦφtaΦi (Outlook Express, Netscape Messenger, Internet Mail and News) nainstalovßny, a p°eΦte z nich seznam emailov²ch adres. Posφlß sßm sebe pomocφ vlastnφ SMTP rutiny. Virem vytvo°enΘ zprßvy nemusφ mφt ₧ßdnΘ t∞lo (tj. neobsahujφ ₧ßdn² text) nebo obsahujφ texty nßhodn∞ shromß₧d∞nΘ ze soubor∙ DOC a TXT, kterΘ virus nalezl na lokßlnφch discφch. To samΘ se t²kß i p°edm∞tu zprßvy. JmΘno p°ipojenΘho souboru je prom∞nnΘ, ale v₧dy mß rozÜφ°enφ EXE nebo SCR.

Win32:Magistr obΦas u₧ivateli ukß₧e svoji p°φtomnost: pokud je kursor myÜi posunut na ikonu na Desktopu, virus ikonu p°emφstφ. Vypadß to pak, ₧e ikona p°ed kursorem uh²bß.

M∞sφc po napadenφ poΦφtaΦe virus spustφ svoji destrukΦnφ rutinu, kterß p°epφÜe vÜechny soubory na lokßlnφch i sdφlen²ch discφch textem "YOUARESHIT". Pod systΘmy Win9x se takΘ pokusφ vymazat pam∞¥ CMOS a p°epsat pam∞¥ Flash Bios.

Pak virus zobrazφ nßsledujφcφ zprßvu:

Another haughty bloodsucker....... YOU THINK YOU ARE GOD , BUT YOU ARE ONLY A CHUNK OF SHIT

Virus obsahuje i "copyright" autora:

ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler.  by: The Judges Disemboweler.  written in Malmo (Sweden)


Zdroj: Alwil software - v²robce antiviru AVAST


Win32/Magistr.B, zm∞ny oproti Win32/Magistr.A:

  • Modifikuje systΘmovΘ soubory (OS-loaders) WIN.COM a NTLDR takov²m zp∙sobem, ₧e za jist²ch okolnostφ jsou po p°φÜtφm restartu smazßna vÜechna data na lokßlnφch i dostupn²ch sφ¥ov²ch discφch.
  • P°i hledßnφ vhodnΘho souboru k infikaci likviduje soubory s p°φponou .NTZ .
  • Pokud zjistφ p°φtomnost personßlnφho firewallu "ZoneAlarm", deaktivuje jej.
  • Umφ prohledßvat databßze e-mailov²ch adres program∙ Eudora, Outlook Express, Netscape Messenger, Internet Mail a Windows address book.
  • Krom∞ soubor∙ s p°φponami .DOC a .TXT umφ pro svΘ Üφ°enφ zneu₧φvat takΘ soubory s p°φponou .GIF.
  • SystΘmovΘ adresß°e hledß v nßsledujφch adresß°φch: WINNT, WINDOWS, WIN95, WIN98, WINME, WIN2000, WIN2K a WINXP
  • Win32/Magistr.B navφc Φßst udaj∙ nut²ch k odlΘΦenφ napaden²ch soubor∙ Üifruje kliΦem, kter² vztvß°φ z ·daj∙ dostupn²ch pouze v infikovanΘm prost°edφ konkrΘtnφho poΦitaΦe, co₧ znesnad≥uje jejich dezinfekci.


    Zdroj: AEC, Data Security Company


    		•