Tổng quan về mẫu malware Virus.Win32.Virut.ce (Phần I)

Tổng quan về mẫu malware Virus.Win32.Virut.ce (Phần I).Trong bài viết sau, Quản Trị Mạng sẽ giới thiệu với các bạn về 1 số loại virus đa hình – ở đây là Virus.Win32.Virut và các biến thể dạng ce của nó. Tại sao lại gọi là Virut.ce? Virut.ce hiện đang là 1 trong những mẫu malware có sức lây lan rộng nhất trên các loại máy tính cá nhân. Nó lây nhiễm đến tất cả các file thực thi (đuôi *.exe trong môi trường Windows) sử dụng những công nghệ tinh vi nhất để trốn tránh khỏi các phần mềm bảo...
Nội dung trích xuất từ tài liệu:
Tổng quan về mẫu malware Virus.Win32.Virut.ce (Phần I)Tổng quan về mẫu malware Virus.Win32.Virut.ce (Phần I)Trong bài viết sau, Quản Trị Mạng sẽ giới thiệu với các bạn về 1 số loạivirus đa hình – ở đây là Virus.Win32.Virut và các biến thể dạng ce củanó.Tại sao lại gọi là Virut.ce?Virut.ce hiện đang là 1 trong những mẫu malware có sức lây lan rộng nhấttrên các loại máy tính cá nhân. Nó lây nhiễm đến tất cả các file thực thi (đuôi*.exe trong môi trường Windows) sử dụng những công nghệ tinh vi nhất đểtrốn tránh khỏi các phần mềm bảo mật. Cách thức lây lan của chúng chủ yếuqua các mô hình máy chủ đa hình, khắc hẳn so với khoảng thời gian 5 nămtrước đây. 1 phần nữa là do việc sử dụng và xây dựng các dữ liệu mô phỏngcũng tăng mạnh. Mặt khác, “công nghệ” được áp dụng vào các mẫu Virut.cephản ánh khá chính xác về mức độ tinh vi và kỹ thuật của những phươngpháp được sử dụng để tạo ra malware. Các công cụ chống lại quá trình môphỏng và phân tích dữ liệu được áp dụng rộng rãi, ví dụ như việc “đếm” cácbộ đồng hóa hàm công thức nhận được khi sử dụng các chỉ dẫn về rdtsc nhiềutầng lớp, và hàng loạt chức năng “gọi” GetTickCount API hoặc quá trình“gọi” các hàm API giả mạo khác....Virut – là 1 trong những dạng virus có khả năng lây lan nhanh và mạnh nhất,với tần suất xuất hiện trung bình 1 biến thể mới trong vòng 1 tuần. Điều nàymột lần nữa khẳng định về khả năng của những kẻ đứng đằng sau và trực tiếptạo ra các dạng virus – đang tiến gần hơn trong việc tiếp cận và điều khiển cơsở dữ liệu của các chương trình antivirus, vì vậy chúng có thể dễ dàng thựchiện các hành động cảnh báo và lẩn trốn mỗi khi có phiên bản nhận dạngvirus được cập nhật. Ngay khi quá trình cập nhật và nhận diện được áp dụngcho các chương trình diệt virus, “tác giả” của những mẫu virus đó sẽ thay đổihành vi và khả năng ngụy trang cho chúng để tiếp tục gây khó khăn cho cácchuyên gia bảo mật. Nhưng thật thú vị rằng các chương trình độc hại nàyluôn luôn có sự đảm bảo và chắc chắn rằng những phiên bản mới nhất luônđược tải về máy tính của nạn nhân thông qua các lỗ hổng từ trình duyệt dướidạng HTML.Trong đoạn tiếp theo, bài viết sẽ miêu tả kỹ hơn về các cách thức được sửdụng để virus lây nhiễm vào 1 file hệ thống bất kỳ, các quá trình hình thànhvà phát triển tương ứng từng thành phần của virus được kiểm tra, liệt kê từkhi chúng mới xuất hiện cho đến nay. Tất cả các số liệu được thu thập và sửdụng công nghệ từ Kaspersky Security Network (KSN), thuộc quyền sở hữucủa Kaspersky Lab.Mô tả ngắn gọn về các số liệu thống kê và mức độ lây lanBiến thể đầu tiên của Virut với tên gọi là Virut.a đã xuất hiện trở lại vàokhoảng giữa năm 2006. Kể từ thời điểm đó, chúng đã có được những bướctiến vững chắc trong quá trình phát triển, đã có tới biến thể Virut.q xuất hiệnvài lần vào khoảng tháng 09 / 2007.Tại thời điểm đó, sự xuất hiện của Virut.q khá phổ biến, nhưng ngày nay thìrất hiếm gặp. Đơn giản vì tin tặc đã ngừng hẳn hỗ trợ cho mẫu virus này từnửa cuối năm 2008, nhưng chỉ sau đó 1 thời gian ngắn – cụ thể là tuần đầutiên của tháng 02 / 2009, một biến thể mới đã xuất hiện với tên gọi làVirut.ce. Các chuyên gia nhận định rằng giới tin tặc đã sử dụng khoảng thờigian nghỉ trước đó để nghiên cứu, hoàn thiện các kỹ thuật lây nhiễm, khảnăng che giấu bản thân và các thuật toán mã hóa mới. Kể từ đây, nhưng thuậtngữ được sử dụng trong phần còn lại của bài viết như Virut, virus… để nóiđến mẫu Virus.Win32.Virut.ce.Tính cho đến thời điểm này, dòng Virut.ce là biến thể phổ biến thứ 2 chỉ saucác phiên bản của Virus.Win32.*.* được phát hiện trên tổng số các máy tínhbị lây nhiễm của người sử dụng: Số liệu thống kê của Kaspersky Lab vể 20 mẫu virus được phát hiện nhiều nhất từ tháng 01/2009 đến tháng 05/2010Khi nhìn vào số liệu dưới đây, mọi người có thể dễ dàng hình dung được mứcđộ tiến triển và lây lan mạnh mẽ của Virut.ce tăng lên theo thời gian:function / entry, quá trình giải mã của body theo dạng tĩnh, và tính thực thicủa quá trình payload. ...