Перейти к содержанию

Recommended Posts

Black Angel

Самый полиморфный вирус

«Лаборатория Касперского» публикует «Обзор Virus.Win32.Virut.ce», который открывает серию статей «Сложные вредоносные программы». Автор материала — старший вирусный аналитик «Лаборатории Касперского» Вячеслав Закоржевский.

Модификация «ce» полиморфного заражающего вируса Virus.Win32.Virut на сегодняшний день занимает 2-ое место среди всех Virus.Win32.*.*, детектируемых на компьютерах пользователей. Это одна из наиболее распространённых вредоносных программ, которая проникает на незащищённые компьютеры пользователей и заражает исполняемые файлы.

В последние годы инфицирование исполняемых файлов стало среди вирусописателей непопулярно, поскольку уровень их обнаружения с помощью эмуляции достиг высокого уровня. Однако разработчики Virut.ce этого не испугались и реализовали сложные методы ухода от детектирования путём антиэмуляции и полиморфизма.

«Virut.ce интересен не столько своим вредоносным функционалом, который довольно банален, сколько разнообразием способов заражения файлов, полиморфизмом, обфускацией и т.д. До появления этой модификации Virut, практически не встречались вирусы, в которых были реализованы все те технологии, которые в нём используются. Встречаются сильно обфусцированные вредоносные программы, зловреды, использующие разнообразную антиэмуляцию, но в случае Virut.ce все эти механизмы работают в одном вирусе», — пишет автор статьи.

Код Virut.ce меняется при каждом заражении, используя механизм мутации, заложенный в самом вирусе. Кроме того, чтобы сбить детектирование, разработчики вредоносной программы дополнительно обновляют вирус в среднем раз в неделю. Virut.ce — единственный вирус, который изменяется подобным образом так часто. Мутирует не только тело вируса, но и его декрипиторы (расшифровщики).

В Virut.ce реализована технология сокрытия точки входа (Entry Point Obscuring), затрудняющая обнаружение точки перехода к телу вредоносной программы. При каждом заражении исполняемого файла применяется обфускация, что представляет ещё одну трудность при детектировании.

Несмотря на такую «многосторонность» вредоносной программы, в настоящее время все продукты «Лаборатории Касперского» успешно детектируют и удаляют Virus.Win32.Virut.ce.

С полной версией аналитической статьи «Обзор Virus.Win32.Virut.ce» можно ознакомиться на сайте www.securelist.com/ru.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.0.23.
    • Thomaspaymn
      Hello there, I'm completely new here, I am not sure in the event this section is a right place to create this and also sorry with this, but I was hoping a person here on anti-malware.ru would be able to assist me.
      I am just wondering anybody knows just about any trusted company for signals for crypto. Is this website good and anyone worked with them ?
      binance futures signals
      Also please introduce any good and comprehensive blog for more inormation about this kind of services. We appreciate it.
    • Gabrielmop
      Какое абстрактное мышление
      filmkont.online
    • Richardcrere
      Реально, https://intervision.ua/videonablyudenie - видеонаблюдение поможет в данной ситуации!
      Цифровые камеры передают четкую детализированную картинку. Чем выше качество изображения, тем «тяжелее» потоковое видео. В этом случае поможет видеорегистратор с емким жестким диском. Для удаленного контроля лучше использовать цифровые IP-видеокамеры, которые шифруют и сжимают сигнал. К тому же, многие IP-модели запитываются по витой паре или оптоволокну посредством технологии PoE. Благодаря этому системами IP-видеонаблюдения оснащают строящиеся объекты.
      https://intervision.ua/videonabludenie/lte-camera - 4g видеокамера
      Как установить видеонаблюдение для дома
      Установка и настройка аппаратуры происходит в несколько этапов. Сначала нужно подобрать и установить видеокамеры, записывающее устройство, а также обеспечить передачу сигнала и постоянное питание. Обратите внимание: проводное подключение требует прокладки кабелей для соединения компонентов. Для этого стоит вызвать мастера.
    • PR55.RP55
      В uVS есть возможность добавлять в базу проверенных: IPL; MBR и т.д. т.е. программа обрабатывает данные и преобразует их в SHA1 Аналогичным образом можно обработать записи: WMI ( и все стандартные\проверенные записи добавить в базу проверенных) Возможно, что-то ещё можно обработать аналогичным образом.    
×