Virus.Win32.Virut.ce

Opisi virusa, 23.06.2010, 01:05 AM

Virus.Win32.Virut.ce

Virut.ce je jedan od najrasprostranjenijih štetnih programa pronađenih na kompjuterima korisnika. On inficira izvršne fajlove koristeći najnovije metode i to je razlog zbog kojeg je otkrivanje i postupanje sa ovakvih fajlovima naročito otežano. Trenutno se većina štetnih fajlova širi zahvaljujući polimorfizmu sa strane servera. Infekcija fajlova nije više onako popularna kao pre pet godina. To je najvećim delom zbog toga što je stepen emulacije veoma napredovao. Tehnologija implementirana u Virut.ce precizno odražava najnovije metode koje se koriste za pisanje štetnih programa.

Ovaj virus u odnosu na ostale poznate viruse najbrže mutira, pa se novi oblici virusa pojavljuju u vremenskim intervalima kraćim od nedelju dana. Ovo ukazuje na to njegovi tvorci pažljivo prate antivirusne baze podataka kako bi mogli promptno da reaguju na pojavu nove signature Virut-a. Čim se ovo dogodi, autori virusa menjaju virus tako da se on ponovo ne može otkriti. Koristeći se zaraženim HTML fajlovima, štetni program se osigurava da njegova najnovija verzija bude download-ovana na zaraženi računar.

Svi statistički podaci u tekstu pred vama prikupljeni su korišćenjem Kaspersky Security Network (KSN) tehnologije.

Statistički podaci i propagacija virusa

Prvi oblik virusa Virut nazvan Virut.a pojavio se sredinom 2006. godine. Od tog treuntka, virus je konstantno evoluirao, dostigavši Virut.q u septembru 2007. godine.

Virut.q je bio dosta popularan u to vreme, dok se ovaj oblik danas retko pojavljuje. “Podrška” za ovaj virus je obustavljena tokom druge polovine 2008. godine, međutim, novi oblik Virut virusa nazvan Virut.ce pojavljuje se prve nedelje februara 2009. godine. Čini se da su autori ovog virusa u međuvremenu usavršili nove metode infekcije, enkripcije algoritama i metode anti-emulacije.

Ovde treba napomenuti da će se u daljem tekstu naziv 'Virut' i pojam virus odnositi na Virus.Win32.Virut.ce.

Trenutno, varijanta Virut.ce je po popularnosti na drugom mestu ako govorimo o oblicima Virus.Win32.*.* otkrivenim na kompjuterima korisnika.


The Top 20 most frequently detected viruses January 2009 - May 2010

Iz grafikona koji sledi jasno se vidi da se aktivnost virusa Virut.ce tokom vremena povećava.


Number of computers infected with Virut.ce May 2009 - May 2010

Virus se širi pomoću inficiranih fajlova, i izvršnih i HTML fajlova, ili manjih programa napravljenih za crack-ovanje licenciranog softvera. Takvi programi obično uključuju key generatore (keygen) i program za modifikaciju fajla (crack). Još određenije, Virut se širi kao deo RAR/SFX kompresovanih fajlova sa imenima kao što su ‘codename_panzers_cold_war_key.exe’ ili 'advanced_archive_password_recovery_4.53_key.exe'. Ovakve arhive sadrže Virut, bilo u originalnom obliku, bilo unutar inficiranog fajla koji ide uz željeni program.



Funkcionalnost

A sada da razmotrimo ono najvažnije - kakav je payload virusa. Poznato je da je većina štetnih programa napravljena tako da bi se pomoću njih ostvarila finansijska dobit i u tom pogledu Virut nije izuzetak. To je backdoor koji najpre pokušava da se ubaci u prostor za adresu procesa 'explorer.exe' (‘services.exe’, ‘iexplore.exe’), zatim se povezuje sa irc.zief.pl i proxim.ircgalaxy.pl URL-ovima preko IRC protokola i čeka da mu stignu komande. Postupak izgleda dosta uobičajeno, a 'screenshot' ispod pokazuje listu procesa koje virus pokušava da obustavi. Ova lista uključuje i procese koji pripadaju antivirusnim programima kao što su 'nod32', ‘rising’, ‘f-secure’ i mnoge druge.


Screenshot showing part of the decrypted static body of Virut.ce
and including the names of processes that are terminated by the virus

Zanimljivo je da virus inficira sve *.htm, *.php i *.asp fajlove na pogođenom računaru. Da bi to postigao, on im dodaje sledeći red: ‘http://jl.*****.pl/rc/ style = ‘display:none’>’. Ovo download-uje najnoviju verziju Virut-a iskorišćavajući ranjivost PDF fajla. Ovaj red može izgledati različito u zavisnosti od verzije 'ce' varijante Virut-a. Na primer, slovo 'u' može biti zamenjeno sa ‘u’, što nema uticaja na browser, ali sprečava rad statičnih signatura.



Način infekcije

Virut.ce koristi EPO tehniku ili prepisuje mesto ulaza kao metodu infekcije. Dva ili više polimorfna dekriptora se takođe koriste u vezi sa tim.

Entry Point Obscuring (EPO) tehnika sprečava otkrivanje instrukcije za prelaz na telo virusa. Obično se ovo primenjuje zamenom nasumične instrukcije u originalnom kodu programa ili parametra za instrukciju prelaza (na telo virusa). Primer na slici ispod pokazuje kako ovo može da izgleda:

Izraz "prepisivanje mesta unosa" nagoveštava izmenu PE zaglavlja inficiranog fajla, što će za posledicu imati izvršenje fajla koje će započeti virusnom komponentom.

Kao što smo već napomenuli, virus dodaje jedan ili dva dekriptora tokom infekcije, koje ćemo dalje u tekstu zvati 'Init' i Main'. Main dekriptor se nalazi u svakom fajlu koji je došao u kontakt sa Virut.ce, dok se Init dekriptor pojavljuje samo mestimično.

Primarna svrha Init dekriptora je dešifrovanje prvog sloja glavnog tela virusa kako bi preuzeo kontrolu nad njim. Pa ipak, veći deo tela virusa ostaje enkriptovan (šifrovan) čak i posle ove inicijalne dekripcije. Init dekriptor je mali deo koda dužine između 0x100 i 0x900 bajta koji sadrži mnogo besmislenih instrukcija koje sprečavaju rad statične antivirusne signature. Dekriptor je smešten na kraju sekcije (bloka) koda ako postoji dovoljan broj nula. Dekriptor radi na sledeći način:

  1. Upisuje veličinu enkriptovanog bloka u registar;

  2. Vrši logičke/aritmetičke operacije na enkriptovanom bloku sa nepromenljivim ključem;

  3. Povećava/Smanjuje pokazivač (pointer) ka šifrovanom bloku;

  4. Vraća se na instrukciju 2 sve dok sve ne dešifruje.

Glavno telo virusa je veličine 0x4000 do 0x6000 bajta i nalazi se na kraju poslednjeg bloka, koji je posebno za ovu svrhu proširen i označen kao 'write/read-accessible and executable'.

Prema tome, postoje ćetiri načina infekcije:

Init Decryptor + EPO:

    Init Decryptor + modifikacija u EP:

    Samo EPO:

    Samo prepisivanje tačke unosa:

Ova četiri načina infekcije pokrivaju sve moguće načine infekcije fajla ili izmene u njegovoj strukturi.

Zaključak

Virut.ce je zanimljiv zbog raznovrsnih mehanizama infekcije fajlova koje koristi, kao što su polimorfizam i tehnike zatamnjivanja koda. Pa ipak, njegov payload je dosta običan. Ova verzija Virut-a bila je prva koja je kombinovala sve gorespomenute štetne metode u jednom štetnom programu. Neki štetni programi su više zatamnjeni, drugi koriste široki spektar anti-emulatorskih tehnika, ali Virut.ce kombinuje sve ovo u na jednom mestu.

Predvideti budućnost ovog virusa je veoma težak zadatak. U periodu april-maj 2010. godine nije otkrivena nijedna nova verzija Virut.ce; međutim, to ne znači da je njegova evolucija zaustavljena. Pre će biti da autori ovog virusa koriste pauzu kako bi razvili dodatne promene virusa kako bi ga učinili imunim u odnosu na antivirusne proizvode.

Trenutno su svi proizvodi Kaspersky Lab u stanju da detektuju i reše problem Virus.Win32.Virut.ce na kompjuterima korisnika a čim novi oblik virusa bude otkriven, signatura će biti pridodata Kaspersky Lab antvirusnoj bazi podataka.



Više detalja na


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje