Virus.Win32.Virut.ce

Opisi virusa, 23.06.2010, 01:05 AM

Virus.Win32.Virut.ce

Virut.ce je jedan od najrasprostranjenijih štetnih programa pronađenih na kompjuterima korisnika. On inficira izvršne fajlove koristeći najnovije metode i to je razlog zbog kojeg je otkrivanje i postupanje sa ovakvih fajlovima naročito otežano. Trenutno se većina štetnih fajlova širi zahvaljujući polimorfizmu sa strane servera. Infekcija fajlova nije više onako popularna kao pre pet godina. To je najvećim delom zbog toga što je stepen emulacije veoma napredovao. Tehnologija implementirana u Virut.ce precizno odražava najnovije metode koje se koriste za pisanje štetnih programa.

Ovaj virus u odnosu na ostale poznate viruse najbrže mutira, pa se novi oblici virusa pojavljuju u vremenskim intervalima kraćim od nedelju dana. Ovo ukazuje na to njegovi tvorci pažljivo prate antivirusne baze podataka kako bi mogli promptno da reaguju na pojavu nove signature Virut-a. Čim se ovo dogodi, autori virusa menjaju virus tako da se on ponovo ne može otkriti. Koristeći se zaraženim HTML fajlovima, štetni program se osigurava da njegova najnovija verzija bude download-ovana na zaraženi računar.

Svi statistički podaci u tekstu pred vama prikupljeni su korišćenjem Kaspersky Security Network (KSN) tehnologije.

Statistički podaci i propagacija virusa

Prvi oblik virusa Virut nazvan Virut.a pojavio se sredinom 2006. godine. Od tog treuntka, virus je konstantno evoluirao, dostigavši Virut.q u septembru 2007. godine.

Virut.q je bio dosta popularan u to vreme, dok se ovaj oblik danas retko pojavljuje. “Podrška” za ovaj virus je obustavljena tokom druge polovine 2008. godine, međutim, novi oblik Virut virusa nazvan Virut.ce pojavljuje se prve nedelje februara 2009. godine. Čini se da su autori ovog virusa u međuvremenu usavršili nove metode infekcije, enkripcije algoritama i metode anti-emulacije.

Ovde treba napomenuti da će se u daljem tekstu naziv 'Virut' i pojam virus odnositi na Virus.Win32.Virut.ce.

Trenutno, varijanta Virut.ce je po popularnosti na drugom mestu ako govorimo o oblicima Virus.Win32.*.* otkrivenim na kompjuterima korisnika.


The Top 20 most frequently detected viruses January 2009 - May 2010

Iz grafikona koji sledi jasno se vidi da se aktivnost virusa Virut.ce tokom vremena povećava.


Number of computers infected with Virut.ce May 2009 - May 2010

Virus se širi pomoću inficiranih fajlova, i izvršnih i HTML fajlova, ili manjih programa napravljenih za crack-ovanje licenciranog softvera. Takvi programi obično uključuju key generatore (keygen) i program za modifikaciju fajla (crack). Još određenije, Virut se širi kao deo RAR/SFX kompresovanih fajlova sa imenima kao što su ‘codename_panzers_cold_war_key.exe’ ili 'advanced_archive_password_recovery_4.53_key.exe'. Ovakve arhive sadrže Virut, bilo u originalnom obliku, bilo unutar inficiranog fajla koji ide uz željeni program.



Funkcionalnost

A sada da razmotrimo ono najvažnije - kakav je payload virusa. Poznato je da je većina štetnih programa napravljena tako da bi se pomoću njih ostvarila finansijska dobit i u tom pogledu Virut nije izuzetak. To je backdoor koji najpre pokušava da se ubaci u prostor za adresu procesa 'explorer.exe' (‘services.exe’, ‘iexplore.exe’), zatim se povezuje sa irc.zief.pl i proxim.ircgalaxy.pl URL-ovima preko IRC protokola i čeka da mu stignu komande. Postupak izgleda dosta uobičajeno, a 'screenshot' ispod pokazuje listu procesa koje virus pokušava da obustavi. Ova lista uključuje i procese koji pripadaju antivirusnim programima kao što su 'nod32', ‘rising’, ‘f-secure’ i mnoge druge.


Screenshot showing part of the decrypted static body of Virut.ce
and including the names of processes that are terminated by the virus

Zanimljivo je da virus inficira sve *.htm, *.php i *.asp fajlove na pogođenom računaru. Da bi to postigao, on im dodaje sledeći red: ‘http://jl.*****.pl/rc/ style = ‘display:none’>’. Ovo download-uje najnoviju verziju Virut-a iskorišćavajući ranjivost PDF fajla. Ovaj red može izgledati različito u zavisnosti od verzije 'ce' varijante Virut-a. Na primer, slovo 'u' može biti zamenjeno sa ‘u’, što nema uticaja na browser, ali sprečava rad statičnih signatura.



Način infekcije

Virut.ce koristi EPO tehniku ili prepisuje mesto ulaza kao metodu infekcije. Dva ili više polimorfna dekriptora se takođe koriste u vezi sa tim.

Entry Point Obscuring (EPO) tehnika sprečava otkrivanje instrukcije za prelaz na telo virusa. Obično se ovo primenjuje zamenom nasumične instrukcije u originalnom kodu programa ili parametra za instrukciju prelaza (na telo virusa). Primer na slici ispod pokazuje kako ovo može da izgleda:

Izraz "prepisivanje mesta unosa" nagoveštava izmenu PE zaglavlja inficiranog fajla, što će za posledicu imati izvršenje fajla koje će započeti virusnom komponentom.

Kao što smo već napomenuli, virus dodaje jedan ili dva dekriptora tokom infekcije, koje ćemo dalje u tekstu zvati 'Init' i Main'. Main dekriptor se nalazi u svakom fajlu koji je došao u kontakt sa Virut.ce, dok se Init dekriptor pojavljuje samo mestimično.

Primarna svrha Init dekriptora je dešifrovanje prvog sloja glavnog tela virusa kako bi preuzeo kontrolu nad njim. Pa ipak, veći deo tela virusa ostaje enkriptovan (šifrovan) čak i posle ove inicijalne dekripcije. Init dekriptor je mali deo koda dužine između 0x100 i 0x900 bajta koji sadrži mnogo besmislenih instrukcija koje sprečavaju rad statične antivirusne signature. Dekriptor je smešten na kraju sekcije (bloka) koda ako postoji dovoljan broj nula. Dekriptor radi na sledeći način:

  1. Upisuje veličinu enkriptovanog bloka u registar;

  2. Vrši logičke/aritmetičke operacije na enkriptovanom bloku sa nepromenljivim ključem;

  3. Povećava/Smanjuje pokazivač (pointer) ka šifrovanom bloku;

  4. Vraća se na instrukciju 2 sve dok sve ne dešifruje.

Glavno telo virusa je veličine 0x4000 do 0x6000 bajta i nalazi se na kraju poslednjeg bloka, koji je posebno za ovu svrhu proširen i označen kao 'write/read-accessible and executable'.

Prema tome, postoje ćetiri načina infekcije:

Init Decryptor + EPO:

    Init Decryptor + modifikacija u EP:

    Samo EPO:

    Samo prepisivanje tačke unosa:

Ova četiri načina infekcije pokrivaju sve moguće načine infekcije fajla ili izmene u njegovoj strukturi.

Zaključak

Virut.ce je zanimljiv zbog raznovrsnih mehanizama infekcije fajlova koje koristi, kao što su polimorfizam i tehnike zatamnjivanja koda. Pa ipak, njegov payload je dosta običan. Ova verzija Virut-a bila je prva koja je kombinovala sve gorespomenute štetne metode u jednom štetnom programu. Neki štetni programi su više zatamnjeni, drugi koriste široki spektar anti-emulatorskih tehnika, ali Virut.ce kombinuje sve ovo u na jednom mestu.

Predvideti budućnost ovog virusa je veoma težak zadatak. U periodu april-maj 2010. godine nije otkrivena nijedna nova verzija Virut.ce; međutim, to ne znači da je njegova evolucija zaustavljena. Pre će biti da autori ovog virusa koriste pauzu kako bi razvili dodatne promene virusa kako bi ga učinili imunim u odnosu na antivirusne proizvode.

Trenutno su svi proizvodi Kaspersky Lab u stanju da detektuju i reše problem Virus.Win32.Virut.ce na kompjuterima korisnika a čim novi oblik virusa bude otkriven, signatura će biti pridodata Kaspersky Lab antvirusnoj bazi podataka.



Više detalja na


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi vid... Dalje

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Posle zatišja od skoro dva meseca, botnet Emotet se vratio izmenjen i sa kampanjom koja dnevno pogađa 100 000 ciljeva. Emotet se pojavio 2014. godin... Dalje