Обзор Virus.Win32.Virut.ce

Данная статья посвящена полиморфному заражающему вирусу Virus.Win32.Virut, а конкретно — модификации “ce”.

Virut.ce — один из наиболее популярных заражающих зловредов, которые проникают на компьютеры пользователей. Вирус заражает исполняемые файлы в системе, применяя самые современные методы, так что его сложно обнаружить, задетектировать и вылечить файлы. В настоящее время для массового распространения вредоносных файлов наиболее активно применяется server–side полиморфизм. Заражение файлов не так популярно, как это было, например, лет пять назад, ввиду того, что уровень эмуляции файлов достиг очень высокого уровня. Надо отдать должное разработчикам Virut.ce: они не побоялись трудностей, с которыми им пришлось столкнуться, применяя заражение исполняемых файлов.

Технологии, реализованные в Virut.ce, очень хорошо отражают наиболее современные методы, используемые при написании зловредов. В нём активно используется антиэмуляция и антиотладка. А именно — применяется подсчёт дельт, полученных с помощью серии инструкций rdtsc, API–функции GetTickCount, а также используется многократный вызов “Fake” API – функций.

Далее [url]http://www.securelist.com/ru/analysis/208050640/Obzor_Virus_Win32_Virut_ce[/url]

[U]Из комментариев к тому же обзору на той же странице:[/U]
Константин10 июн 2010, 17:44
0
Спасибо за подробную инструкцию! Попробую на досуге сделать заразить calc.exe таким способом :-)

Вообще с помощью инструкций от разных антивирусных компаний, например, удалось сделать buffer-overflow exploit. Очень понравилось :-)

Интересного всем досуга,

К;)