Антивирусное подразделение компании Network Associates, Inc. на прошлой неделе сообщило об обнаружении нового вируса, которому было присвоено имя W32/Perrun. На фоне современного вирусописательства событие было бы мало примечательным, если бы не одно "но". А заключается оно в том, что это первый вирус, который для инфицирования использует файлы графического JPEG-формата, одного из наиболее массовых в Сети. Как сообщается на сайте компании, W32/Perrun - это типичный многокомпонентный вирус, написанный на Visual Basic 6. Он состоит из исполнимого файла размером 11780 байт и экстрактора размером 5636 байта, сжатых с помощью утилиты UPX.

Как обычно, вирус заражает компьютер при запуске файла, который содержит его код. При этом в текущую директорию копируется файл EXTRK.EXE, а в системный реестр добавляется запись: HKEY_CLASSES_ROOT\jpegfile\shell\open\command "(Default)" = (current directory)\EXTRK.EXE %1. Так что симптомами заражения этим вирусом являются модификация системного реестра и увеличение размера JPEG-файлов на 11780 байт. При запуске JPEG-файла экстрактор проверяет, заражен ли он. Если да, то извлекается и исполняется тело вируса. Затем экстрактор пытается открыть JPEG-файл с помощью системной DLL. Инфицируются файлы только текущей директории и только один файл за один запуск. Самостоятельно вирус не может поражать другие компьютеры и оценивается как неопасный. Но, как говорится, лиха беда начало. Так что благодушествовать в соответствии с известной формулой "Пярун не грымне - мужык не перахрысціцца" тут не стоит, ведь Сеть постоянно прокачивает "мегатонны" JPEG'ов, и что принесет вам один из них, теперь никто заранее знать не может.

С деталями можно ознакомиться по адресу vil.nai.com/vil/default.asp.

Сергей САНЬКО