Судя по комментариям в коде вируса, он создан неким шведским хакером по кличке The Judges Disemboweler. Лаборатория Касперского уже получила несколько сообщений о фактах обнаружения вируса в "диком" виде. Magistr может проникнуть в компьютер тремя основными способами. Во - первых, через письма электронной почты, в случае если пользователь запустил зараженный вложенный файл. Во - вторых, через локальную сеть, заражая файлы на доступных ресурсах серверов и других компьютеров. В - третьих, в процессе обмена файлами с использованием мобильных накопителей. Сразу же после запуска инфицированного файла вирус начинает внедряться в систему, в рассылки, и через определенное время начинает ощущаться его разрушительное действие.

Для своей рассылки по электронной почте, Magistr сканирует базы данных почтовых программ Outlook Express, Netscape Messenger, Internet Mail, а также адресную книгу Windows и считывает оттуда все электронные адреса.

Данные о местоположении почтовых баз и их именах вирус записывает в специальный файл с расширением DAT. Имя этого файла получается путем шифрования имени компьютера. Например, если компьютер имеет сетевое имя CS - GOAT, то файл будет называться WG - SKYF.DAT. В зависимости от первого символа имени DAT - файла он помещается в корневой каталог диска C: или директории Windows или Program Files. После этого он незаметно считывает адрес используемого компьютером SMTP - сервера и от имени пользователя отсылает через него электронные сообщения, содержащие зараженные файлы, случайно взятые с зараженного компьютера. Заголовки сообщений случайным образом выбираются либо из найденных на компьютере DOC и TXT файлов, либо из содержащегося в теле вируса списка стандартных фраз на английском, французском и испанском языках. Сообщения не содержат никаких текстов, а в качестве вложенных файлов вирус использует случайно выбранный на компьютере PE EXE или SCR файл длиной меньше 132 Кб. Подобная неустойчивость внешних признаков существенно затрудняет идентификацию пользователями зараженных писем.

Важно отметить, что в процессе рассылки инфицированных писем, вирус случайным образом искажает адрес отправителя (удаляет или заменяет некоторые буквы). Это обстоятельство также способствует сокрытию вирусной активности на зараженном компьютере, поскольку его владелец во многих случаях не сможет получить ответ от получателя с подтверждением о прочтении файла или вопросом о его содержании: при попытке ответить письмо будет автоматически адресовано на несуществующий адрес. После запуска "Magistr" заражает все файлы форматов PE EXE и SCR в каталогах "Windows", "WinNT", "Win95" и "Win98" всех локальных дисков. После этого он сканирует все доступные сетевые ресурсы и снова ищет те же каталоги и заражает обнаруженные там файлы. В процессе внедрения в файлы вирус использует ряд исключительно сложных методов, что значительно осложняет процедуру его обнаружения и удаления. Для этого тело вируса разделяется на три части, две из которых шифруются полиморфным кодом, так что зараженный файл выглядит следующим образом: Magistr rus.bmp Таким образом, после запуска зараженного файла, вирус перехватывает его выполнение в точке входа и переадресовывает обработчик на код вируса. И только после окончания выполнения основного кода вируса управление снова передается оригинальной программе.

Для обеспечения своего постоянного присутствия в системе, Magistr модифицирует конфигурационный файл Windows WIN.INI и системный реестр таким образом, что вирус активизируется каждый раз при запуске операционной системы. При заражении сетевых ресурсов вирус модифицирует только WIN.INI. Magistr содержит исключительно опасную деструктивную функцию. Через 1 месяц после заражения компьютеров под управлением Windows NT/2000 вирус уничтожает все файлы на локальных и сетевых дисках, записывая в них фразу "YOUARESHIT". В дополнение к этому, на компьютерах с установленной Windows 95/98/ME вирус сбрасывает данные в памяти CMOS (CMOS содержит аппаратные параметры загрузки компьютера) и, подобно вирусу "Чернобыль" (CIH), уничтожает содержимое микросхемы FLASH BIOS. После этого он показывает следующее сообщение: Another haughty bloodsucker... ... . YOU THINK YOU ARE GOD , BUT YOU ARE ONLY A CHUNK OF SHIT Кроме того, в зависимости от ряда условий, вирус запускает еще одну процедуру, вызывающую эффект "убегающих иконок": при установке указателя мыши на какой - либо иконке рабочего стола она тут же меняет свое местоположение, так что пользователь не в состоянии запустить соответствующую ей программу: Magistr icons.bmp.

"В данном случае мы имеем дело с весьма сложным и технологически продвинутым вирусом, впитавшем в себя все наиболее эффективные методы распространения, заражения, маскировки и самые опасные деструктивные функции, - комментирует Денис Зенкин, руководитель информационной службы Лаборатории Касперского, - По сути дела, Magistr - это результат успешного скрещивания бешеной скорости распространения вируса ILOVEYOU и разрушительного воздействия "Чернобыля".