«Лаборатория Касперского» публикует
«Обзор Virus.Win32.Virut.ce», который открывает серию статей «Сложные
вредоносные программы». Автор материала — старший вирусный аналитик
«Лаборатории Касперского» Вячеслав Закоржевский.
Модификация «ce»
полиморфного заражающего вируса Virus.Win32.Virut на сегодняшний день
занимает 2-ое место среди всех Virus.Win32.*.*, детектируемых на
компьютерах пользователей. Это одна из наиболее распространённых
вредоносных программ, которая проникает на незащищённые компьютеры
пользователей и заражает исполняемые файлы.
В последние годы
инфицирование исполняемых файлов стало среди вирусописателей
непопулярно, поскольку уровень их обнаружения с помощью эмуляции достиг
высокого уровня. Однако разработчики Virut.ce этого не испугались и
реализовали сложные методы ухода от детектирования путём антиэмуляции и
полиморфизма.
«Virut.ce интересен не столько своим вредоносным
функционалом, который довольно банален, сколько разнообразием способов
заражения файлов, полиморфизмом, обфускацией и т.д. До появления этой
модификации Virut, практически не встречались вирусы, в которых были
реализованы все те технологии, которые в нём используются. Встречаются
сильно обфусцированные вредоносные программы, зловреды, использующие
разнообразную антиэмуляцию, но в случае Virut.ce все эти механизмы
работают в одном вирусе», — пишет автор статьи.
Код Virut.ce
меняется при каждом заражении, используя механизм мутации, заложенный в
самом вирусе. Кроме того, чтобы сбить детектирование, разработчики
вредоносной программы дополнительно обновляют вирус в среднем раз в
неделю. Virut.ce — единственный вирус, который изменяется подобным
образом так часто. Мутирует не только тело вируса, но и его декрипиторы
(расшифровщики).
В Virut.ce реализована технология сокрытия точки
входа (Entry Point Obscuring), затрудняющая обнаружение точки перехода к
телу вредоносной программы. При каждом заражении исполняемого файла
применяется обфускация, что представляет ещё одну трудность при
детектировании.
Как сообщается, несмотря на такую
«многосторонность» вредоносной программы, в настоящее время все продукты
«Лаборатории Касперского» успешно детектируют и удаляют
Virus.Win32.Virut.ce.
|
Главная 
