Перейти к содержанию

Самый полиморфный вирус

Black Angel

От Black Angel
в Жизнь «Лаборатории Касперского»

 Share

Рекомендуемые сообщения

Black Angel Профи

Black Angel

Опубликовано
Опубликовано

Самый полиморфный вирус

 

«Лаборатория Касперского» публикует «Обзор Virus.Win32.Virut.ce», который открывает серию статей «Сложные вредоносные программы». Автор материала — старший вирусный аналитик «Лаборатории Касперского» Вячеслав Закоржевский.

 

Модификация «ce» полиморфного заражающего вируса Virus.Win32.Virut на сегодняшний день занимает 2-ое место среди всех Virus.Win32.*.*, детектируемых на компьютерах пользователей. Это одна из наиболее распространённых вредоносных программ, которая проникает на незащищённые компьютеры пользователей и заражает исполняемые файлы.

 

В последние годы инфицирование исполняемых файлов стало среди вирусописателей непопулярно, поскольку уровень их обнаружения с помощью эмуляции достиг высокого уровня. Однако разработчики Virut.ce этого не испугались и реализовали сложные методы ухода от детектирования путём антиэмуляции и полиморфизма.

 

«Virut.ce интересен не столько своим вредоносным функционалом, который довольно банален, сколько разнообразием способов заражения файлов, полиморфизмом, обфускацией и т.д. До появления этой модификации Virut, практически не встречались вирусы, в которых были реализованы все те технологии, которые в нём используются. Встречаются сильно обфусцированные вредоносные программы, зловреды, использующие разнообразную антиэмуляцию, но в случае Virut.ce все эти механизмы работают в одном вирусе», — пишет автор статьи.

 

Код Virut.ce меняется при каждом заражении, используя механизм мутации, заложенный в самом вирусе. Кроме того, чтобы сбить детектирование, разработчики вредоносной программы дополнительно обновляют вирус в среднем раз в неделю. Virut.ce — единственный вирус, который изменяется подобным образом так часто. Мутирует не только тело вируса, но и его декрипиторы (расшифровщики).

 

В Virut.ce реализована технология сокрытия точки входа (Entry Point Obscuring), затрудняющая обнаружение точки перехода к телу вредоносной программы. При каждом заражении исполняемого файла применяется обфускация, что представляет ещё одну трудность при детектировании.

 

Несмотря на такую «многосторонность» вредоносной программы, в настоящее время все продукты «Лаборатории Касперского» успешно детектируют и удаляют Virus.Win32.Virut.ce.

 

С полной версией аналитической статьи «Обзор Virus.Win32.Virut.ce» можно ознакомиться на сайте www.securelist.com/ru.

 

Источник

Ссылка на комментарий
Поделиться на другие сайты
Обжора Опытный

Обжора

Опубликовано
Опубликовано
Кто ж придумал такое чудо?

Самое интересное, что авторы подобного разнообразного ПО почти всегда остаются анонимными. :D

Ссылка на комментарий
Поделиться на другие сайты
apq Корифей

apq

Опубликовано
Опубликовано
Кто ж придумал такое чудо?

кто ж признается :D? такие люди любят анонимность

в настоящее время все продукты «Лаборатории Касперского» успешно детектируют и удаляют Virus.Win32.Virut.ce.
это радует :D
Ссылка на комментарий
Поделиться на другие сайты
_Strannik_ Гигант мысли

_Strannik_

Опубликовано
Опубликовано

да интересная штука..Вот бы эти светлые головы да в правильное русло направить цены им бы не было...

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
  • 2 weeks later...
Nikolay Lazarenko Ветеран

Nikolay Lazarenko

Опубликовано
Опубликовано

Делать нечего от высокого уровня мастерства,вот и пишут гадость...Зверёк действительно очень гадостный :) похуже руткита будет

Ссылка на комментарий
Поделиться на другие сайты
Ivan007 Опытный

Ivan007

Опубликовано
Опубликовано
Делать нечего от высокого уровня мастерства,вот и пишут гадость...

 

писание вирусов, это как правило попытка доказать что-то самому себе, самоутвердиться.

Ссылка на комментарий
Поделиться на другие сайты
Nesser Гигант мысли

Nesser

Опубликовано
Опубликовано
писание вирусов, это как правило попытка доказать что-то самому себе, самоутвердиться.

Для шлаеты из вирусмейкеров. А вообще вирусы создают чаще совсем по другой причине, с холодным расчетом и далекоидущими планами)))

Ссылка на комментарий
Поделиться на другие сайты
apq Корифей

apq

Опубликовано
Опубликовано
А вообще вирусы создают чаще совсем по другой причине, с холодным расчетом и далекоидущими планами)))

это скорее вы о троянах говорите

Ссылка на комментарий
Поделиться на другие сайты
Nesser Гигант мысли

Nesser

Опубликовано
Опубликовано
это скорее вы о троянах говорите

Не только. Бэкдоры, локеры, спам-боты...сложные вирусы для выявления слабых мест в обороне антивирусов. Все это не от фонаря и из чувства самоутверждения пишется.

Ну это мое ИМХО основанное на общей картинке и мнениях вирусных аналитиков.

Ссылка на комментарий
Поделиться на другие сайты
Werewolf Продвинутый

Werewolf

Опубликовано
Опубликовано
это скорее вредоносные программы, а не классические вирусы

А сейчас довольно сложно найти классический вирус или троян или бэкдор. Обычно все в одном флаконе. Вот этот самый зверек качает свою обновленную версию раз в неделю - это не свойство вируса.

Ссылка на комментарий
Поделиться на другие сайты
Ivan007 Опытный

Ivan007

Опубликовано
Опубликовано (изменено)
Вот этот самый зверек качает свою обновленную версию раз в неделю.

 

создатель хорошо продумал. :) Фактически вирусом постоянно кто-то занимается. Интересно - ведь раз вирус качает откуда-то обновления, то как-то можно же вычислить откуда?

Изменено пользователем Ivan007
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...