14 stycznia 2002

Donut - pierwszy wirus infekujący pliki .NET

Wirus "Donut" został opracowany przez czeskiego hackera pracującego pod pseudonimem "Benny", członka grupy "29A". "Benny" jest znany jako autor wielu wirusów między innymi: "Stream" (pierwszy wirus infekujący alternatywne strumienie danych NTFS), "Inta" (pierwszy wirus dla systemu Windows 2000), "HIV", "Champ", "Eva", "Begemot".

Najbardziej intrygujący jest fakt, że wirus ten infekuje pliki technologii .NET, którą Microsoft prezentuje jako przyszłościową alternatywę dla Javy, jeszcze nie jest oficjalnie rozpowszechniania i wciąż jest wewnętrznie rozwijana. Fachowcy komentują ten fakt: "Jest wiadomo, że autorzy wirusów są przede wszystkim zainteresowani popularnym oprogramowaniem o szerokim zasięgu, którym obecnie są technologie Microsoftu. Pojawienie się wirusa "Donut" potwierdza opinię, że popularność produktów jest zagwarantowana nie tylko wśród użytkowników, ale także wśród autorów piszących wirusy". Podziemie komputerowe zdecydowało się nie czekać na oficjalne pojawienie się obiecywanej technologii i rozpoczęło rozwój złośliwych programów ukierunkowanych na .NET.

Po uruchomieniu pliku zainfekowanego wirusem "Donut" szkodnik ładuje się do pamięci systemowej i rozpoczyna poszukiwania plików .NET na docelowym komputerze. Jeżeli takie pliki zostaną znalezione, wirus modyfikuje je. Następnie podczas uruchamiania pliku wykonuje się kod wirusa, który przekazuje kontrolę do procesora plików .NET w celu wykonania oryginalnego pliku .NET.

Istotne jest to, że "Donut" nie jest czystym wirusem .NET. Wprawdzie infekuje on pliki .NET ale w rzeczywistości jest to zwykły wykonywalny plik Windows napisany w języku Assembler.

Z wyjątkiem mechanizmów infekowania innych plików .NET wirus nie posiada dodatkowych niebezpiecznych efektów ubocznych ani dodatkowych procedur destrukcyjnych.

Specjaliści z firmy Kaspersky Lab twierdzą, że "Donut" nie stanowi realnego zagrożenia dla użytkowników z powodu niskiej popularności technologii .NET. Nawet jeżeli użytkownik przypadkowo uruchomił zainfekowany plik, wirus nie wyrządzi żadnej szkody w komputerze z powodu braku plików procesora .NET i innych plików .NET.

Procedury zwalczające wirusa "Donut" zostały już dodane do dziennego uaktualnienia baz antywirusowych z dnia 10 stycznia 2002 oprogramowania Kaspersky Lab.