Ebbene sì, tra worm trojan backdoor e schifezze varie ogni tanto salta fuori qualche virus vecchio stile, i famosi file infector.
Di questi tipi di virus ce ne sono più pochi in giro, addirittura solo due sono quelli in-the-wild: Parite.B e Tenga.A (che, pur essendo solo due, fanno casino per 53 dei peggiori worm :D).

Bene, da Marzo sta girando nelle reti P2P un nuovo file infector, denominato W32.Polipos. Ma la cosa bella è che solo da Aprile, cioè un mese dopo, le società di antivirus hanno cominciato a prenderlo sul serio. L’unica società che l’ha sempre individuato è stata Dr.Web, che è anche la prima ad aver fornito un tool di rimozione per i file infetti.

Era da parecchio tempo che non si vedeva un file infector come Polipos, veramente ben programmato.

Il codice del virus è criptato con algoritmo XTEA e utilizza parecchi trucchi, quali per esempio l’individuazione se è stato eseguito all’interno di una Virtual Machine o se qualcuno sta utilizzando su di esso un debugger.

Una volta eseguito il virus infetta i files eseguibili all’interno del sistema, seguendo un pò lo schema di Chernobyl (il vecchio virus CIH, molto famoso): space filling. Polipos è infatti uno space filler, cioè copia il proprio codice criptato alla fine del file e il decoder lo inserisce tra i vari spazi “vuoti” che trova all’interno del file attaccato. Non altera l’OEP (l’Original Entry Point) del file attaccato ma modifica, in modo random, le chiamate ad alcune API del programma ospite reindirizzandole all’esecuzione del virus stesso.

Una volta eseguito inoltre infetta tutti i processi in esecuzione, eccetto

savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll
smss, csrss, spoolsv, ctfmon, temp

Inoltre, le copie in esecuzione del virus intercettano le chiamate alle seguenti API:

ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW

infettando di seguito i files gestiti da quelle funzioni di Windows.

Insomma, la rimozione del virus dai file infetti non è per niente semplice e per ora l’unico capace di rimuovere correttamente il virus è Dr.Web Antivirus, compreso il tool free di controllo CureIT, scaricabile da qui.

Carino vero il virus? 😀