Обнаружен новый вирус для 64-битных версий Windows

[konstantin_frolov]

Специалисты компании Symantec выявили новую вредоносную программу, получившую название W64.Bounds. Вирус инфицирует компьютеры под управлением 64-битных операционных систем Windows.

Информация о W64.Bounds впервые появилась в блоге Питера Ферри, одного из специалистов Symantec. Он сообщал, что вредоносная программа разрабатывалась специально для платформы AMD64 и поражает только компьютеры с процессорами этой компании. Эта информация спровоцировала волну слухов и спекуляций, и Ферри поспешил прояснить ситуацию.

W64.Bounds не использует какие-либо особенности конструкции современных процессоров. Вредоносная программа способна работать на компьютерах как с чипами AMD, так и Intel. После проникновения на машину с 64-разрядной ОС Windows вирус внедряется во все исполняемые файлы в текущей директории и поддиректориях. Несмотря на то, что W64.Bounds использует новую методику маскировки, удалить его не составляет особого труда.

W64.Bounds является концептуальным вирусом. Он не представляет особой опасности и пока не получил широкого распространения. Однако фрагменты кода могут быть использованы злоумышленниками для создания более опасных вредоносных программ.

 

[DezMond]

у кого есть сорцы??? выкладываем

 

[salamandra]

Блин и отчего такой шум!?Используются 64 битные регистры и всего то!

format PE64 GUI
entry start

section '.code' code readable executable

start:

mov r9d,0
lea r8,[_caption]
lea rdx,[_message]
mov rcx,0
call [MessageBox]

mov ecx,eax
call [ExitProcess]

section '.data' data readable writeable

_caption db 'Win64 assembly program',0
_message db 'Hello World!',0

section '.idata' import data readable writeable

dd 0,0,0,RVA kernel_name,RVA kernel_table
dd 0,0,0,RVA user_name,RVA user_table
dd 0,0,0,0,0

kernel_table:
ExitProcess dq RVA _ExitProcess
dq 0
user_table:
MessageBox dq RVA _MessageBoxA
dq 0

kernel_name db 'KERNEL32.DLL',0
user_name db 'USER32.DLL',0

_ExitProcess dw 0
db 'ExitProcess',0
_MessageBoxA dw 0
db 'MessageBoxA',0

 

[BUG(O)R]

salamandra
Я тоже сразу так подумал, но меня смутила строка:

W64.Bounds не использует какие-либо особенности конструкции современных процессоров. Вредоносная программа способна работать на компьютерах как с чипами AMD, так и Intel.

Что они имели ввиду под особенностями, если не расширенные регистры? Т.е. можно сделать вывод, что новые регистры он не использует, но тогда почему работает только на 64? Короче описание какое-то противоречащее.
Добавлено в [time]1157882198[/time]
PS Юзай теги code и не надо постить весь листинг, только топики засоряешь.

 

[[br]]

боян.

Discovered: August 20, 2004
Updated: August 25, 2004 04:26:52 PM ZW3
Type: Virus
Infection Length: 1318 bytes
Systems Affected: Windows 64-bit (AMD64+INTEL64(earlier))

When it's is executed, it searches 64-bit executable files that are in the same folder, and all subfolders, as the one from which the virus was executed. When it finds a 64-bit executable file, the virus appends itself to the file, including .dll files.

перевожу

Когда вирь выполняется, он ищит 64 битныйе экзэшники в этой же папке и подпапках, где он был запущен. Когда находит 64битники то клеит себя к файлам с помощью длл'ок.

вообще он ищет тлс чтобы внедрить свой код...

мб будут в ближ дни исходник того что более старый для интела

 

[salamandra]

Ага!Вернее всего так!Сам загрузчик 32 битный сканит диск на наличие 64 битных файлов и заражает!Только описание и правдо какое то противоречиящие!

,10.09.06 15:02]Когда вирь выполняется, он ищит 64 битныйе экзэшники в этой же папке и подпапках, где он был запущен. Когда находит 64битники то клеит себя к файлам с помощью длл'ок.

Тока нафиг дллки!

 

[Ma-stiff]

[br]

то клеит себя к файлам с помощью длл'ок.

На мой взгляд, вернее было бы
клеит себя к файлам, также и к dll.
или
клеит себя к файлам, внедряя в них dll.
Что вернее, исходя из текста, понять сложно, но исходя из здравого смысла - первое.