Tổng quan về mẫu malware Virus.Win32.Virut.ce- Phần 2

Tổng quan về mẫu malware Virus.Win32.Virut.ce Phần 2 Các chức năng chính của Virut Tiếp theo, chúng ta sẽ đi đến phần chức năng quan trọng nhất – quá trình payload (hiểu nôm na là việc thực hiện các hành vi lấy cắp dữ liệu có liên quan đến mục đích tài chính từ người sử dụng bị lây nhiễm) của virut. Đây là phần rất dễ nhận biết, vì nó được tạo ra và sử dụng của bất kỳ mẫu virut nào mà không có ngoại lệ. Rất hiệu quả, thông thường nó sẽ cấy 1 chương trình backdoor...
Nội dung trích xuất từ tài liệu:
Tổng quan về mẫu malware Virus.Win32.Virut.ce- Phần 2 Tổng quan về mẫu malware Virus.Win32.Virut.ce Phần 2Các chức năng chính của VirutTiếp theo, chúng ta sẽ đi đến phần chức năng quan trọng nhất– quá trình payload (hiểu nôm na là việc thực hiện các hành vilấy cắp dữ liệu có liên quan đến mục đích tài chính từ ngườisử dụng bị lây nhiễm) của virut. Đây là phần rất dễ nhận biết,vì nó được tạo ra và sử dụng của bất kỳ mẫu virut nào màkhông có ngoại lệ. Rất hiệu quả, thông thường nó sẽ cấy 1chương trình backdoor trước tiên để xâm nhập vào vùng hoạtđộng của tiến trình explorer.exe (ví dụ như services.exe hoặciexplore.exe), sau đó thực hiện các kết nối tới địa chỉirc.zief.pl và proxim.ircgalaxy.pl thông qua giao thức IRC vàchờ đợi các câu lệnh, tín hiệu phản hồi. Những thủ tục này cóthể dễ dàng được phát hiện bởi các chương trình an ninh phổbiến hiện nay như nod32, rising, f-secure…: Hình ảnh biểu diễn quá trình giải mã phần body tĩnh của Virut.ce bao gồm tên ứng dụng bị khóa bởi virusTrên thực tế, các mẫu virus lây nhiễm vào file *.htm, *.php và*.asp được lưu trữ ngay bên trong các ngõ ngách của máytính. Để làm điều này, chúng đã tự thêm các dòng lệnh sauvào mã cơ bản: . Câu lệnh này sẽ tự độngtải phiên bản mới nhất của virut về máy tính thông qua lỗhổng của file định dạng PDF. Những dòng này sẽ thay đổi tùytheo các phiên bản tương ứng của biến thể ce. Ví dụ, ký tự ucó thể được thay thế bởi u, có thể không ảnh hưởng tớitrình duyệt nhưng sẽ bảo vệ quá trình nhận diện khi chúnghoạt động.Thảo luận chung và các phương thức lây nhiễmVề bản chất, Virut.ce sử dụng công nghệ EPO hoặc ghi đè lêncác điểm entry để tiến hành lây nhiễm, đồng thời, 1 hoặc 2công cụ giải mã được sử dụng kèm trong quá trình trên. Côngnghệ Entry Point Obscuring (EPO) hoạt động dựa trên khảnăng chống lại sự nhận diện. Thông thường, quá trình nàyđược thực hiện bằng cách thay thế những chỉ dẫn ngẫu nhiêntrong toàn bộ mã nguồn chính của chương trình và các thamsố đi kèm. Bên dưới đây là ví dụ về quá trình thay thế các chỉdẫn và địa chỉ làm việc:Cụm từ rewriting the entry point – dịch nôm na là quá trìnhghi đè các điểm entry, ngụ ý đến việc sửa đổi các dữ liệu PEheader của file đang bị lây nhiễm, đặc biệt là việc ghi đè lêntrường dữ liệu AddressOfEntryPoint trong cấu trúcIMAGE_NT_HEADERS32. Do đó, file thực thi sẽ trực tiếpkhởi động và kích hoạt các thành phần chính của virus. Nhưđã thảo luận bên trên, các mẫu virus chỉ sử dụng 1 hoặc 2công cụ giải mã chính trong quá trình lây nhiễm – có thể tạmgọi là Init và Main. Công cụ giải mã Main được xác địnhtrong từng file bị tác động bởi Virut.ce, trong khi phần Init chỉthỉnh thoảng hoạt động.Mục đích chính của phần Init là xác định và giải mã lớp dữliệu đầu tiên trong phần thân của virus theo đúng quy trình đểgiao cơ chế tự điều khiển và kích hoạt cho nó. Tuy nhiên, cácthành phần còn lại vẫn được giữ nguyên ngay cả khi quá trìnhgiải mã xảy ra và kết thúc. Toàn bộ công cụ giải mã Init là 1mảnh nhỏ trong đoạn mã từ 0x100 đến 0x900 byte, trong đócó chứa rất nhiều các thông tin chỉ dẫn sai mục đích nhằmtranh khỏi sự nhận diện của các chương trình bảo mật. Tómtắt lại quá trình biên dịch, giải mã này có thể bao gồm trong 4bước chính sau: - Khởi tạo và ghi kích cỡ của các section đã được giải mã tớichương trình quản lý register - Thực hiện các toán tử theo logic để tiếp tục mã hóa cácsection với hằng số key không thay đổi - Tăng / giảm số lượng pointer trỏ tới các section đã mã hóa - Quay ngược trở lại bước 2 cho tới khi tất cả mọi dữ liệuđược giải mãThông thường, phần body chính của virus sẽ có kích thướctrong khoảng 0x4000 tới 0x6000 byte, và được xác định tạiphía cuối của section cuối cùng, được xác định rõ ràng bằngthuộc tính truy cập, thực thi và khả năng ghi / đọc của dữ liệu.Hoặc theo cách khác, chúng ta có thể hình dung quá trình trêntheo sơ đồ sau: - Quá trình Init Decryptor và EPO:- Init Decryptor và chỉnh sửa EP:- Riêng quá trình EPO:- Quá trình viết lại các entry point: ...