W kwietniu br. po eksplozji podobnego wirusa o nazwie Czernobyl mieliśmy już przedsmak tego, co potrafi Magistr. Miesiąc od zainfekowania komputera wirus usuwał pliki z dysków lokalnych i sieciowych oraz niszczył zawartość BIOS-u. Co gorsza, nie wszystkie programy antywirusowe były w stanie wykryć zagrożenie.
Do nowego wcielenia Magistra pasuje określenie “złośliwa bestia”. Ten polimorficzny “robak” internetowy został znacznie udoskonalony i obecnie potrafi rozprzestrzeniać się skuteczniej, nie wspominając o całkowitej destrukcji danych.
Kod Magistra “waży” ok. 30 kilobajtów i jest to bardzo dużo jak na program asemblerowy. Spory rozmiar ma jednak swoje uzasadnienie: złożony algorytm infekcji 32-bitowych plików systemowych Windows, zaimplementowane różne metody rozpowszechniania się poprzez e-mail i sieć lokalną, a także generowania treści rozsyłanych wiadomości oraz wiele sztuczek i trików mających na celu utrudnienie wykrycia i usunięcia wirusa.
Najciekawszy jest sposób, w jaki Magistr zagnieżdża się w systemie. Kiedy niczego nieświadomy użytkownik uruchomi zainfekowany plik, wirus instaluje się jako program rezydentny w pamięci operacyjnej PC-ta i zaczyna działanie jako wątek procesu systemowego EXPLORER.EXE. Następnie, poprzez dokonanie modyfikacji w Rejestrze i pliku WIN.INI, wirus zapewnia sobie aktywację przy każdym starcie systemu. Kolejny etap “misji” to infekcja lokalnych i sieciowych plików oraz rozsyłanie własnego kodu e-pocztą. Dołączany sprytnie do plików główny kod wirusa jest dodatkowo szyfrowany. Od tej chwili rozpoczyna się odliczanie. Jednym z objawów obecności infekcji są uciekające spod kursora ikony na Pulpicie. Miesiąc po zarażeniu “robak” uruchamia swoją procedurę destrukcyjną, nadpisując obraźliwym epitetem zawartość wszystkich plików na wszystkich dyskach lokalnych i sieciowych oraz czyszcząc zawartość CMOS-u.
Jeżeli do tego czasu nie postaramy się o porządny program antywirusowy, trudno nam będzie dojść do siebie po przeczytaniu tego, co pojawi się na koniec na monitorze…
