Перейти к содержанию

Recommended Posts

Black Angel

Самый полиморфный вирус

«Лаборатория Касперского» публикует «Обзор Virus.Win32.Virut.ce», который открывает серию статей «Сложные вредоносные программы». Автор материала — старший вирусный аналитик «Лаборатории Касперского» Вячеслав Закоржевский.

Модификация «ce» полиморфного заражающего вируса Virus.Win32.Virut на сегодняшний день занимает 2-ое место среди всех Virus.Win32.*.*, детектируемых на компьютерах пользователей. Это одна из наиболее распространённых вредоносных программ, которая проникает на незащищённые компьютеры пользователей и заражает исполняемые файлы.

В последние годы инфицирование исполняемых файлов стало среди вирусописателей непопулярно, поскольку уровень их обнаружения с помощью эмуляции достиг высокого уровня. Однако разработчики Virut.ce этого не испугались и реализовали сложные методы ухода от детектирования путём антиэмуляции и полиморфизма.

«Virut.ce интересен не столько своим вредоносным функционалом, который довольно банален, сколько разнообразием способов заражения файлов, полиморфизмом, обфускацией и т.д. До появления этой модификации Virut, практически не встречались вирусы, в которых были реализованы все те технологии, которые в нём используются. Встречаются сильно обфусцированные вредоносные программы, зловреды, использующие разнообразную антиэмуляцию, но в случае Virut.ce все эти механизмы работают в одном вирусе», — пишет автор статьи.

Код Virut.ce меняется при каждом заражении, используя механизм мутации, заложенный в самом вирусе. Кроме того, чтобы сбить детектирование, разработчики вредоносной программы дополнительно обновляют вирус в среднем раз в неделю. Virut.ce — единственный вирус, который изменяется подобным образом так часто. Мутирует не только тело вируса, но и его декрипиторы (расшифровщики).

В Virut.ce реализована технология сокрытия точки входа (Entry Point Obscuring), затрудняющая обнаружение точки перехода к телу вредоносной программы. При каждом заражении исполняемого файла применяется обфускация, что представляет ещё одну трудность при детектировании.

Несмотря на такую «многосторонность» вредоносной программы, в настоящее время все продукты «Лаборатории Касперского» успешно детектируют и удаляют Virus.Win32.Virut.ce.

С полной версией аналитической статьи «Обзор Virus.Win32.Virut.ce» можно ознакомиться на сайте www.securelist.com/ru.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      в списке сигнатур, в данном случае 2-3 десятка записей с именем Win32/Adware.ConvertAd, а файл, который попал под детект данной сигнатуры, детектируется на VT как  NSIS/CoinMiner. захотел переименовать сигнатуру, а какую именно - не определить наугад :). ------- т.е. понятно, что переименоваться должна не строка в инфо, а запись в signs, и как следствие, потом уже и отображение названия в Инфо будет новое.
    • demkd
      такого нет, можно конечно сделать, но не ясно зачем
    • santy
      demkd, есть такая возможность,  из окна инфо, в поле сигнатура вызвать форму для переименования сигнатуры? (с учетом того, что сигнатур с одинаковыми именами может быть много, поэтому для редактирования должна быть открыта нужная запись) т.е. вызвать эту форуму:
    • santy
      у меня все шесть файликов сразу попали в подозрительные и вирусы при открытии образа. (без добавления новых сигнатур). тот случай, когда образы автозапуска нужны не только для того, чтобы писать по ним скрипты, но и для пополнения баз сигнатур и правил, т.е. чтобы использовать заложенные в программе возможности к самообучению.  
    • PR55.RP55
      Зачем ? Только для файлов которые попали в подозрительные. Логика такая:  Файл в подозрительных > uVS берёт его SHA1 ( если таковая есть ) и прогоняет весь список на совпадение > если совпадение найдено - файл попадает в подозрительные > в Инфо. файла пишется информация по какой причине файл попал в подозрительные. Да и проверку можно проводить на  готовом образе\списке.
×