Служба мониторинга вирусной активности компании «Доктор Веб» сообщает об обнаружении в Internet нескольких модификаций вирусов, получивших наименования по классификации Dr.Web Win32.Virut.5 (Email-Worm.Win32.Warezov.jq, Win32/Virut.10192 по классификации других антивирусных поставщиков) и Win32.Scproj.7573 (Backdoor.PcClient.SYX).

Как известно, уже в течение долгого времени происходит спам-рассылка известного «штормового червя», маскирующегося под поздравительную открытку и детектируемого антивирусом Dr.Web как Trojan.Packed.142. Службой вирусного мониторинга компании «Доктор Веб» было зафиксировано распространение модификаций «штормового червя», инфицированных сложным полиморфным вирусом Win32.Virut.5, заражающих все исполняемые файлы и содержащих функции управления инфицированными компьютерами с использованием IRC. Антивирус Dr.Web детектирует и «лечит» файлы, пораженные Win32.Virut.5.

Зафиксировано распространение и другого файлового вируса, получившего название Win32.Scproj.7573. Данный вирус заражает все исполняемые файлы на жестких дисках компьютера, а также на сменных дисках.

Вирус, как правило, не меняет размер файла-жертвы, записываясь в области нулевых байтов. Заражение не сопровождается какими-либо визуальными эффектами, его признаками могут служить ошибки Explorer, сообщения тех или иных программ о нарушении целостности исполняемых файлов и т.п. Вирус перехватывает у зараженных приложений доступ в сеть, поэтому может обходить политики безопасности межсетевых экранов для доверенных приложений. В своем теле он содержит ссылки, по которым может получить инструкции для дальнейших действий. Через определенное время после запуска зараженного Explorer вирус проверяет сетевые ресурсы на наличие доступных для записи сетевых папок, и при обнаружении таковых заражает в них все исполняемые файлы. Вирус не заражает файлы в каталогах Windows, WINNT, System32, System и dllcache.

Поделитесь материалом с коллегами и друзьями