Virus.Win32.Virut.ce

Opisi virusa, 23.06.2010, 01:05 AM

Virus.Win32.Virut.ce

Virut.ce je jedan od najrasprostranjenijih štetnih programa pronađenih na kompjuterima korisnika. On inficira izvršne fajlove koristeći najnovije metode i to je razlog zbog kojeg je otkrivanje i postupanje sa ovakvih fajlovima naročito otežano. Trenutno se većina štetnih fajlova širi zahvaljujući polimorfizmu sa strane servera. Infekcija fajlova nije više onako popularna kao pre pet godina. To je najvećim delom zbog toga što je stepen emulacije veoma napredovao. Tehnologija implementirana u Virut.ce precizno odražava najnovije metode koje se koriste za pisanje štetnih programa.

Ovaj virus u odnosu na ostale poznate viruse najbrže mutira, pa se novi oblici virusa pojavljuju u vremenskim intervalima kraćim od nedelju dana. Ovo ukazuje na to njegovi tvorci pažljivo prate antivirusne baze podataka kako bi mogli promptno da reaguju na pojavu nove signature Virut-a. Čim se ovo dogodi, autori virusa menjaju virus tako da se on ponovo ne može otkriti. Koristeći se zaraženim HTML fajlovima, štetni program se osigurava da njegova najnovija verzija bude download-ovana na zaraženi računar.

Svi statistički podaci u tekstu pred vama prikupljeni su korišćenjem Kaspersky Security Network (KSN) tehnologije.

Statistički podaci i propagacija virusa

Prvi oblik virusa Virut nazvan Virut.a pojavio se sredinom 2006. godine. Od tog treuntka, virus je konstantno evoluirao, dostigavši Virut.q u septembru 2007. godine.

Virut.q je bio dosta popularan u to vreme, dok se ovaj oblik danas retko pojavljuje. “Podrška” za ovaj virus je obustavljena tokom druge polovine 2008. godine, međutim, novi oblik Virut virusa nazvan Virut.ce pojavljuje se prve nedelje februara 2009. godine. Čini se da su autori ovog virusa u međuvremenu usavršili nove metode infekcije, enkripcije algoritama i metode anti-emulacije.

Ovde treba napomenuti da će se u daljem tekstu naziv 'Virut' i pojam virus odnositi na Virus.Win32.Virut.ce.

Trenutno, varijanta Virut.ce je po popularnosti na drugom mestu ako govorimo o oblicima Virus.Win32.*.* otkrivenim na kompjuterima korisnika.


The Top 20 most frequently detected viruses January 2009 - May 2010

Iz grafikona koji sledi jasno se vidi da se aktivnost virusa Virut.ce tokom vremena povećava.


Number of computers infected with Virut.ce May 2009 - May 2010

Virus se širi pomoću inficiranih fajlova, i izvršnih i HTML fajlova, ili manjih programa napravljenih za crack-ovanje licenciranog softvera. Takvi programi obično uključuju key generatore (keygen) i program za modifikaciju fajla (crack). Još određenije, Virut se širi kao deo RAR/SFX kompresovanih fajlova sa imenima kao što su ‘codename_panzers_cold_war_key.exe’ ili 'advanced_archive_password_recovery_4.53_key.exe'. Ovakve arhive sadrže Virut, bilo u originalnom obliku, bilo unutar inficiranog fajla koji ide uz željeni program.



Funkcionalnost

A sada da razmotrimo ono najvažnije - kakav je payload virusa. Poznato je da je većina štetnih programa napravljena tako da bi se pomoću njih ostvarila finansijska dobit i u tom pogledu Virut nije izuzetak. To je backdoor koji najpre pokušava da se ubaci u prostor za adresu procesa 'explorer.exe' (‘services.exe’, ‘iexplore.exe’), zatim se povezuje sa irc.zief.pl i proxim.ircgalaxy.pl URL-ovima preko IRC protokola i čeka da mu stignu komande. Postupak izgleda dosta uobičajeno, a 'screenshot' ispod pokazuje listu procesa koje virus pokušava da obustavi. Ova lista uključuje i procese koji pripadaju antivirusnim programima kao što su 'nod32', ‘rising’, ‘f-secure’ i mnoge druge.


Screenshot showing part of the decrypted static body of Virut.ce
and including the names of processes that are terminated by the virus

Zanimljivo je da virus inficira sve *.htm, *.php i *.asp fajlove na pogođenom računaru. Da bi to postigao, on im dodaje sledeći red: ‘http://jl.*****.pl/rc/ style = ‘display:none’>’. Ovo download-uje najnoviju verziju Virut-a iskorišćavajući ranjivost PDF fajla. Ovaj red može izgledati različito u zavisnosti od verzije 'ce' varijante Virut-a. Na primer, slovo 'u' može biti zamenjeno sa ‘u’, što nema uticaja na browser, ali sprečava rad statičnih signatura.



Način infekcije

Virut.ce koristi EPO tehniku ili prepisuje mesto ulaza kao metodu infekcije. Dva ili više polimorfna dekriptora se takođe koriste u vezi sa tim.

Entry Point Obscuring (EPO) tehnika sprečava otkrivanje instrukcije za prelaz na telo virusa. Obično se ovo primenjuje zamenom nasumične instrukcije u originalnom kodu programa ili parametra za instrukciju prelaza (na telo virusa). Primer na slici ispod pokazuje kako ovo može da izgleda:

Izraz "prepisivanje mesta unosa" nagoveštava izmenu PE zaglavlja inficiranog fajla, što će za posledicu imati izvršenje fajla koje će započeti virusnom komponentom.

Kao što smo već napomenuli, virus dodaje jedan ili dva dekriptora tokom infekcije, koje ćemo dalje u tekstu zvati 'Init' i Main'. Main dekriptor se nalazi u svakom fajlu koji je došao u kontakt sa Virut.ce, dok se Init dekriptor pojavljuje samo mestimično.

Primarna svrha Init dekriptora je dešifrovanje prvog sloja glavnog tela virusa kako bi preuzeo kontrolu nad njim. Pa ipak, veći deo tela virusa ostaje enkriptovan (šifrovan) čak i posle ove inicijalne dekripcije. Init dekriptor je mali deo koda dužine između 0x100 i 0x900 bajta koji sadrži mnogo besmislenih instrukcija koje sprečavaju rad statične antivirusne signature. Dekriptor je smešten na kraju sekcije (bloka) koda ako postoji dovoljan broj nula. Dekriptor radi na sledeći način:

  1. Upisuje veličinu enkriptovanog bloka u registar;

  2. Vrši logičke/aritmetičke operacije na enkriptovanom bloku sa nepromenljivim ključem;

  3. Povećava/Smanjuje pokazivač (pointer) ka šifrovanom bloku;

  4. Vraća se na instrukciju 2 sve dok sve ne dešifruje.

Glavno telo virusa je veličine 0x4000 do 0x6000 bajta i nalazi se na kraju poslednjeg bloka, koji je posebno za ovu svrhu proširen i označen kao 'write/read-accessible and executable'.

Prema tome, postoje ćetiri načina infekcije:

Init Decryptor + EPO:

    Init Decryptor + modifikacija u EP:

    Samo EPO:

    Samo prepisivanje tačke unosa:

Ova četiri načina infekcije pokrivaju sve moguće načine infekcije fajla ili izmene u njegovoj strukturi.

Zaključak

Virut.ce je zanimljiv zbog raznovrsnih mehanizama infekcije fajlova koje koristi, kao što su polimorfizam i tehnike zatamnjivanja koda. Pa ipak, njegov payload je dosta običan. Ova verzija Virut-a bila je prva koja je kombinovala sve gorespomenute štetne metode u jednom štetnom programu. Neki štetni programi su više zatamnjeni, drugi koriste široki spektar anti-emulatorskih tehnika, ali Virut.ce kombinuje sve ovo u na jednom mestu.

Predvideti budućnost ovog virusa je veoma težak zadatak. U periodu april-maj 2010. godine nije otkrivena nijedna nova verzija Virut.ce; međutim, to ne znači da je njegova evolucija zaustavljena. Pre će biti da autori ovog virusa koriste pauzu kako bi razvili dodatne promene virusa kako bi ga učinili imunim u odnosu na antivirusne proizvode.

Trenutno su svi proizvodi Kaspersky Lab u stanju da detektuju i reše problem Virus.Win32.Virut.ce na kompjuterima korisnika a čim novi oblik virusa bude otkriven, signatura će biti pridodata Kaspersky Lab antvirusnoj bazi podataka.



Više detalja na


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje