近日,卡巴斯基实验室宣布发布一篇题为《解析Virus.Win32.Virut.ce》的分析文章,文章作者为卡巴斯基实验室高级病毒分析师Vyacheslav Zakorzhevsky。本文也是卡巴斯基实验室近期将会推出的复杂恶意程序分析系列文章的首篇。
Virus.Win32.Virut多态病毒的“ce”变种是所有Virus.Win32.*.* 类病毒中变种数量排名第二的变种。并且也是感染量最大的病毒之一,我们在很多受感染计算机上发现了此变种的身影。此病毒通过感染可执行文件进行传播。
近几年,很多病毒编写者似乎很少编写用于感染可执行文件的恶意程序。这是因为感染文件类恶意程序很容易被基于模拟技术的检测技术查杀。但是,Virut.ce变种的作者对此似乎并不在意,而是编写了具有复杂技术以及功能的新变种。此变种采用反模拟技术,并且具备多变种性质,能够躲避反病毒软件的检测。
文章作者说:“Virut.ce变种所采用的多种文件感染机制比较有趣,同时,其还具有多变种特性以及感染技术。但是,此变种的恶意功能相当普遍。此版本的Virut病毒是第一个将上述各种恶意技术集合于一身的恶意软件。之前的恶意软件也许有些采用了高级感染技术,有些采用了广泛的反模拟技术,但是,Virut.ce变种却将上述所有技术整合于一体,成为一个独特的病毒。”
Virut.ce病毒的代码每次感染文件后,都会利用其自身的变异功能发生改变。此外,已经确认该病毒的编写者经常会发布新的变种,几乎每周一次,使得成功检测此类病毒变得相对苦难。Virut.ce是目前已知的变异速度最快的病毒,而且其变异过程中不仅病毒本体发生变异,加密代码也会改变。
Virut.ce采用了入口点模糊技术,避免病毒体跳转入口点被检测到。该病毒每次感染一个可执行文件后,就会使用干扰技术,使得对此病毒的检测变得更加困难。
虽然该恶意软件具有上述多种技术以及功能,但卡巴斯基实验室的所有安全产品目前已经可以成功检测和清除该病毒。
欲浏览文章全文,请访问:www.securelist.com/en.
网友评论