"Лаборатория Касперского" публикует "Обзор
Virus.Win32.Virut.ce", который открывает серию статей
"Сложные вредоносные программы". Автор материала -
старший вирусный аналитик "Лаборатории Касперского" Вячеслав
Закоржевский.
Модификация "ce" полиморфного заражающего вируса
Virus.Win32.Virut на сегодняшний день занимает 2-ое место среди всех
Virus.Win32.*.*, детектируемых на компьютерах пользователей. Это одна из
наиболее распространённых вредоносных программ, которая проникает на
незащищённые компьютеры пользователей и заражает исполняемые файлы.
В последние годы инфицирование исполняемых файлов стало среди
вирусописателей непопулярно, поскольку уровень их обнаружения с помощью
эмуляции достиг высокого уровня. Однако разработчики Virut.ce этого не
испугались и реализовали сложные методы ухода от детектирования путём
антиэмуляции и полиморфизма.
"Virut.ce интересен не столько своим вредоносным функционалом,
который довольно банален, сколько разнообразием способов заражения
файлов, полиморфизмом, обфускацией и т.д. До появления этой модификации
Virut, практически не встречались вирусы, в которых были реализованы все
те технологии, которые в нём используются. Встречаются сильно
обфусцированные вредоносные программы, зловреды, использующие
разнообразную антиэмуляцию, но в случае Virut.ce все эти механизмы
работают в одном вирусе", - пишет автор статьи.
Код Virut.ce меняется при каждом заражении, используя механизм мутации,
заложенный в самом вирусе. Кроме того, чтобы сбить детектирование,
разработчики вредоносной программы дополнительно обновляют вирус в
среднем раз в неделю. Virut.ce - единственный вирус, который
изменяется подобным образом так часто. Мутирует не только тело вируса,
но и его декрипиторы (расшифровщики).
В Virut.ce реализована технология сокрытия точки входа (Entry Point
Obscuring), затрудняющая обнаружение точки перехода к телу вредоносной
программы. При каждом заражении исполняемого файла применяется
обфускация, что представляет ещё одну трудность при детектировании.
Несмотря на такую "многосторонность" вредоносной программы,
в настоящее время все продукты "Лаборатории Касперского"
успешно детектируют и удаляют Virus.Win32.Virut.ce.
С полной версией аналитической статьи "Обзор
Virus.Win32.Virut.ce" можно ознакомиться на сайте
www.securelist.com/ru.