Новости :: Наиболее полиморфный вирус

«Лаборатория Касперского» представила обзор на вирус Virus.Win32.Virut.ce, которой открыла серию публикаций, посвященной теме «Сложные вредоносные программы». Автором материала является Вячеслав Закоржевский, занимающих должность старшего вирусного аналитика «Лаборатории Касперского».

Вирусы модификации «ce» полиморфного вируса Virus.Win32.Virut сегодня стоят на втором месте среди всех известных вирусов Virus.Win32.*.*, которые были обнаружены на компьютерах пользователей. Данный вирус является наиболее распространенным среди других вредоносных программ, который проникает на незащищенный компьютер пользователя и заражает как можно больше исполняемых файлов.

Последним временем, среди создателей вирусов все меньше отдавали предпочтение технике заражения исполняемых файлов, поскольку их обнаружение с помощью эмулированной среды стало более простым и надежным. Но создателей вируса Virut.ce это не остановило, поскольку ими были разработаны новые методы, которые позволяли им прятаться от обнаружения даже в среде эмуляции, путем использования антиэмуляции и полиморфизма.

При анализе вируса Virut.ce интересно не так то, что он делает, что ничем особым не отличается среди других вредоносных программ, а то, какие способы заражения файлов он использует, собственно, сам полиморфизм, обфускация и т. д. Вирус Virut.ce является пионером среди вирусов, использующих все эти технологии, поскольку до эго появления, ни один вредоносный код не содержал в себе их реализацию вместе. Были случаи обнаружения некоторых из этих механизмов обфускации, антиэмуляции и других, но вируса, в котором все эти технологии использовались бы вместе, еще не было.

С помощью механизма мутации, который заложен в самой вирусной программе, вредоносный код вируса Virut.ce меняется при каждом заражении. Помимо этого, чтобы еще более усложнить обнаружение данного вируса, его разработчики занимаются обновлением вируса, примерно раз в неделю. По частоте своего обновления, вирус Virut.ce не имеет аналогов. Мутация касается не только тела вируса, но и его декрипторов.

В вирусе Virut.ce также реализуется технология сокрытия точки входа (Entry Point Obscuring), которая делает обнаружение точки перехода к вредоносному коду в программе более затрудненным. Каждое заражение файла сопровождается обфускацией, что еще более усложняет его обнаружение.

Но при всех механизмах защиты данного вируса и усложнении его обнаружения, антивирусные технологии «Лаборатории Касперского» на сей день успешно обнаруживают и удаляют вирус Virus.Win32.Virut.ce.