Tổng quan về mẫu malware Virus.Win32.Virut.ce- Phần 1

Tổng quan về mẫu malware Virus.Win32.Virut.ce Phần 1Trong bài viết sau, Quản Trị sẽ giới thiệu với các bạn về 1 số loại virus đa hình – ở đây là Virus.Win32.Virut và các biến thể dạng ce của nó. Tại sao lại gọi là Virut.ce? Virut.ce hiện đang là 1 trong những mẫu malware có sức lây lan rộng nhất trên các loại máy tính cá nhân. Nó lây nhiễm đến tất cả các file thực thi (đuôi *.exe trong môi trường Windows) sử dụng những công nghệ tinh vi nhất để trốn tránh khỏi các phần mềm bảo mật....
Nội dung trích xuất từ tài liệu:
Tổng quan về mẫu malware Virus.Win32.Virut.ce- Phần 1 Tổng quan về mẫu malware Virus.Win32.Virut.ce Phần 1Trong bài viết sau, Quản Trị sẽ giới thiệu với cácbạn về 1 số loại virus đa hình – ở đây làVirus.Win32.Virut và các biến thể dạng ce của nó.Tại sao lại gọi là Virut.ce?Virut.ce hiện đang là 1 trong những mẫu malware cósức lây lan rộng nhất trên các loại máy tính cá nhân. Nólây nhiễm đến tất cả các file thực thi (đuôi *.exe trongmôi trường Windows) sử dụng những công nghệ tinh vinhất để trốn tránh khỏi các phần mềm bảo mật. Cáchthức lây lan của chúng chủ yếu qua các mô hình máychủ đa hình, khắc hẳn so với khoảng thời gian 5 nămtrước đây. 1 phần nữa là do việc sử dụng và xây dựngcác dữ liệu mô phỏng cũng tăng mạnh. Mặt khác, “côngnghệ” được áp dụng vào các mẫu Virut.ce phản ánh kháchính xác về mức độ tinh vi và kỹ thuật của nhữngphương pháp được sử dụng để tạo ra malware. Các côngcụ chống lại quá trình mô phỏng và phân tích dữ liệuđược áp dụng rộng rãi, ví dụ như việc “đếm” các bộđồng hóa hàm công thức nhận được khi sử dụng các chỉdẫn về rdtsc nhiều tầng lớp, và hàng loạt chức năng“gọi” GetTickCount API hoặc quá trình “gọi” các hàmAPI giả mạo khác....Virut – là 1 trong những dạng virus có khả năng lây lannhanh và mạnh nhất, với tần suất xuất hiện trung bình 1biến thể mới trong vòng 1 tuần. Điều này một lần nữakhẳng định về khả năng của những kẻ đứng đằng sau vàtrực tiếp tạo ra các dạng virus – đang tiến gần hơn trongviệc tiếp cận và điều khiển cơ sở dữ liệu của các chươngtrình antivirus, vì vậy chúng có thể dễ dàng thực hiệncác hành động cảnh báo và lẩn trốn mỗi khi có phiênbản nhận dạng virus được cập nhật. Ngay khi quá trìnhcập nhật và nhận diện được áp dụng cho các chươngtrình diệt virus, “tác giả” của những mẫu virus đó sẽthay đổi hành vi và khả năng ngụy trang cho chúng đểtiếp tục gây khó khăn cho các chuyên gia bảo mật.Nhưng thật thú vị rằng các chương trình độc hại nàyluôn luôn có sự đảm bảo và chắc chắn rằng những phiênbản mới nhất luôn được tải về máy tính của nạn nhânthông qua các lỗ hổng từ trình duyệt dưới dạng HTML.Trong đoạn tiếp theo, bài viết sẽ miêu tả kỹ hơn về cáccách thức được sử dụng để virus lây nhiễm vào 1 file hệthống bất kỳ, các quá trình hình thành và phát triểntương ứng từng thành phần của virus được kiểm tra, liệtkê từ khi chúng mới xuất hiện cho đến nay. Tất cả cácsố liệu được thu thập và sử dụng công nghệ từKaspersky Security Network (KSN), thuộc quyền sởhữu của Kaspersky Lab.Mô tả ngắn gọn về các số liệu thống kê và mức độ lâylanBiến thể đầu tiên của Virut với tên gọi là Virut.a đã xuấthiện trở lại vào khoảng giữa năm 2006. Kể từ thời điểmđó, chúng đã có được những bước tiến vững chắc trongquá trình phát triển, đã có tới biến thể Virut.q xuất hiệnvài lần vào khoảng tháng 09 / 2007.Tại thời điểm đó, sự xuất hiện của Virut.q khá phổ biến,nhưng ngày nay thì rất hiếm gặp. Đơn giản vì tin tặc đãngừng hẳn hỗ trợ cho mẫu virus này từ nửa cuối năm2008, nhưng chỉ sau đó 1 thời gian ngắn – cụ thể là tuầnđầu tiên của tháng 02 / 2009, một biến thể mới đã xuấthiện với tên gọi là Virut.ce. Các chuyên gia nhận địnhrằng giới tin tặc đã sử dụng khoảng thời gian nghỉ trướcđó để nghiên cứu, hoàn thiện các kỹ thuật lây nhiễm,khả năng che giấu bản thân và các thuật toán mã hóamới. Kể từ đây, nhưng thuật ngữ được sử dụng trongphần còn lại của bài viết như Virut, virus… để nói đếnmẫu Virus.Win32.Virut.ce.Tính cho đến thời điểm này, dòng Virut.ce là biến thểphổ biến thứ 2 chỉ sau các phiên bản củaVirus.Win32.*.* được phát hiện trên tổng số các máytính bị lây nhiễm của người sử dụng: Số liệu thống kê của Kaspersky Lab vể 20 mẫu virus được phát hiện nhiều nhất từ tháng 01/2009 đến tháng 05/2010Khi nhìn vào số liệu dưới đây, mọi người có thể dễ dànghình dung được mức độ tiến triển và lây lan mạnh mẽcủa Virut.ce tăng lên theo thời gian: Số lượng máy tính bị lây nhiễm bởi Virut.ce trong cùng thời gian từ tháng 05/2009 đến 05/2010Cách thức lây nhiễm của mẫu virus này chủ yếu qua filethực thi *.exe và HTML, hoặc những chương trìnhcrack phần mềm, nhưng chúng ta vẫn thường gọi làkeygen và những file đã được crack sẵn. Cụ thể hơn,chúng thường xuyên ẩn mình trong file crack dạngRAR/SFX với tên gọi nhưcodename_panzers_cold_war_key.exe hoặcadvanced_archive_password_recovery_4.53_key.exe. ...