【台北訊】近日,卡巴斯基實驗室宣布發布一篇題為《解析 Virus.Win32.Virut.ce》的分析文章,文章作者為卡巴斯基實驗室高級病毒分析師Vyacheslav Zakorzhevsky。本文也是卡巴斯基實驗室近期將會推出的複雜惡意程式分析系列文章的首篇。
Virus.Win32.Virut多態病毒的“ce”變種是所有Virus.Win32.*.* 類病毒中變種數量排名第二的變種。並且也是感染量最大的病毒之一,我們在很多受感染電腦上發現了此變種的身影。此病毒通過感染可執行文件進行傳播。
近幾年,很多病毒編寫者似乎很少編寫用於感染可執行文件的惡意程式。這是因為感染文件類惡意程式很容易被基於模擬技術的檢測技術查殺。但是,Virut.ce變種的作者對此似乎並不在意,而是編寫了具有複雜技術以及功能的新變種。此變種採用反模擬技術,並且具備多變種性質,能夠躲避反病毒軟體的檢測。
文章作者說:「Virut.ce變種所採用的多種文件感染機制比較有趣,同時,其還具有多變種特性以及感染技術。但是,此變種的惡意功能相當普遍。此版本的Virut病毒是第一個將上述各種惡意技術集合於一身的惡意軟體。之前的惡意軟體也許有些採用了高級感染技術,有些採用了廣泛的反模擬技術,但是,Virut.ce變種卻將上述所有技術整合於一體,成為一個獨特的病毒。」
Virut.ce病毒的代碼每次感染文件後,都會利用其自身的變異功能發生改變。此外,已經確認該病毒的編寫者經常會發布新的變種,幾乎每週一次,使得成功檢測此類病毒變得相對苦難。Virut.ce是目前已知的變異速度最快的病毒,而且其變異過程中不僅病毒本體發生變異,加密代碼也會改變。
Virut.ce採用了入口點模糊技術,避免病毒體跳轉入口點被檢測到。該病毒每次感染一個可執行文件後,就會使用干擾技術,使得對此病毒的檢測變得更加困難。
雖然該惡意軟體具有上述多種技術以及功能,但卡巴斯基實驗室的所有安全產品目前已經可以成功檢測和清除該病毒。
欲瀏覽文章全文,請訪 問:www.securelist.com/en.
