Данная статья посвящена полиморфному заражающему вирусу Virus.Win32.Virut, а конкретно — модификации “ce”.

Модификация "ce" полиморфного заражающего вируса Virus.Win32.Virut на сегодняшний день занимает 2-ое место среди всех Virus.Win32.*.*, детектируемых на компьютерах пользователей. Это одна из наиболее распространённых вредоносных программ, которая проникает на незащищённые компьютеры пользователей и заражает исполняемые файлы.

TOP20 детектируемых вирусов Январь 2009 — Май 2010

В последние годы инфицирование исполняемых файлов стало среди вирусописателей непопулярно, поскольку уровень их обнаружения с помощью эмуляции достиг высокого уровня. Однако разработчики Virut.ce этого не испугались и реализовали сложные методы ухода от детектирования путём антиэмуляции и полиморфизма.

Как известно, подавляющее большинство зловредов создаются исключительно ради извлечения выгоды. Так вот — Virut не стал исключением. По сути — это Backdoor, который вначале пытается внедриться в адресное пространство процесса “explorer.exe” (“services.exe”, “iexplore.exe”), а затем подключиться по IRC-протоколу к адресам irc.zief.pl, proxim.ircgalaxy.pl, с которых он ожидает команды сервера. Всё довольно стандартно, как и попытка завершения различных процессов.

"Virut.ce интересен не столько своим вредоносным функционалом, который довольно банален, сколько разнообразием способов заражения файлов, полиморфизмом, обфускацией и т.д. До появления этой модификации Virut, практически не встречались вирусы, в которых были реализованы все те технологии, которые в нём используются. Встречаются сильно обфусцированные вредоносные программы, зловреды, использующие разнообразную антиэмуляцию, но в случае Virut.ce все эти механизмы работают в одном вирусе", - пишет автор статьи.

Код Virut.ce меняется при каждом заражении, используя механизм мутации, заложенный в самом вирусе. Кроме того, чтобы сбить детектирование, разработчики вредоносной программы дополнительно обновляют вирус в

среднем раз в неделю. Virut.ce - единственный вирус, который изменяется подобным образом так часто. Мутирует не только тело вируса, но и его декрипиторы (расшифровщики).

В Virut.ce реализована технология сокрытия точки входа (Entry Point Obscuring), затрудняющая обнаружение точки перехода к телу вредоносной программы. При каждом заражении исполняемого файла применяется обфускация, что представляет ещё одну трудность при детектировании.

Определить дальнейшие перспективы развития вируса довольно сложно. Хотя в апреле — мае 2010 года и не было обнаружено новых версий Virut.ce, но это не означает, что его разработка остановилась. Вполне возможно, что вирусописателями была взята пауза для внесения в вирус изменений, которые усложнят детектирование Virut антивирусными компаниями.

Несмотря на такую "многосторонность" вредоносной программы, в настоящее время все продукты "Лаборатории Касперского" успешно детектируют и удаляют Virus.Win32.Virut.ce.

(По материалам Лаборатории Касперского)

Хотите узнать подробнее о Virus.Win32.Virut.ce. и приобрести надежную антивирусную программу по борьбе с ним? Звоните (4812) 388 -898 (многоканальный телефон).