Virut.ce — один из наиболее популярных заражающих зловредов, которые проникают на компьютеры пользователей. Вирус заражает исполняемые файлы в системе, применяя самые современные методы, так что его сложно обнаружить, задетектировать и вылечить файлы. В настоящее время для массового распространения вредоносных файлов наиболее активно применяется server–side полиморфизм. Заражение файлов не так популярно, как это было, например, лет пять назад, ввиду того, что уровень эмуляции файлов достиг очень высокого уровня. Надо отдать должное разработчикам Virut.ce: они не побоялись трудностей, с которыми им пришлось столкнуться, применяя заражение исполняемых файлов.


Технологии, реализованные в Virut.ce, очень хорошо отражают наиболее современные методы, используемые при написании зловредов. В нём активно используется антиэмуляция и антиотладка. А именно — применяется подсчёт дельт, полученных с помощью серии инструкций rdtsc, API–функции GetTickCount, а также используется многократный вызов “Fake” API – функций.

Virut — единственный вирус, который изменяется в среднем раз в неделю, что говорит о том, что его разработчики непрерывно следят за состоянием баз антивирусов и немедленно реагируют на появление соответствующих сигнатур — обновляют вирус, чтобы сбить его детектирование. Что интересно, очень грамотно продуман способ обновления версии зловреда — с помощью инфицированных html файлов.

В этой статье рассмотрены техники заражения файлов. Также не будет обойдена вниманием обфускация, которая имеет место при каждом заражении исполняемого файла. Дополнительно будет показана эволюция различных компонент вируса, начиная от его появления и заканчивая настоящим временем. Вся статистика, которая использована в статье, получена с помощью технологии KSN — Kaspersky Security Network.

Самая первая модификация вируса Virut — “a” — появилась ещё в середине 2006 года. Далее шло постепенное развитие вредоносной программы, которое вылилось в появление модификации “q” в сентябре 2007 года.

Эта модификация была очень популярна в своё время, однако, сейчас встречается редко. Полноценная “поддержка” Virut.q была прекращена разработчиками во второй половине 2008 года. А в первую неделю февраля 2009 года было зарегистрировано появление модификации “ce”. Промежуток времени между окончанием работы над модификацией “q” и выпуском “ce”, по-видимому, был использован для разработки новых методик заражения, алгоритмов шифрования и методов антиэмуляции.

Далее в статье под словами “Virut”, “Вирус” и т.д. будет подразумеваться именно Virus.Win32.Virut.ce.

В настоящее время модификация Virut.ce находится на втором месте среди всех Virus.Win32.*.*, детектируемых на компьютерах пользователей.

Virut.ce интересен не столько своим вредоносным функционалом, который довольно банален, сколько разнообразием способов заражения файлов, полиморфизмом, обфускацией и т.д. До появления этой модификации Virut практически не встречались вирусы, в которых были реализованы те технологии, которые в нем используются. Встречаются сильно обфусцированные зловреды, зловреды, использующие разнообразную антиэмуляцию, но в случае Virut.ce все эти механизмы работают в одном вирусе. Их рассмотрению и посвящена эта статья.

Разумеется, в статье представлена не вся информация о Virut.ce, — но такой задачи и не стояло. Можно было бы подробно изучить общение вируса с IRC–сервером или все тонкости заражения файлов, но мы уделили внимание только самым основным механизмам работы Virut. Подробное рассмотрение реализации антиэмуляции было исключено, дабы опубликованной информацией не воспользовались злоумышленники.

Определить дальнейшие перспективы развития вируса довольно сложно. Хотя в апреле — мае 2010 года и не было обнаружено новых версий Virut.ce, но это не означает, что его разработка остановилась. Вполне возможно, что вирусописателями была взята пауза для внесения в вирус изменений, которые усложнят детектирование Virut антивирусными компаниями.

В настоящее время все продукты «Лаборатории Касперского» успешно детектируют и лечат Virus.Win32.Virut.ce. Если будет найдена новая модификация вируса, её детектирование будет добавлено в наши базы в кратчайшие сроки.

Мы надеемся, что данная статья будет полезна вирусным аналитикам, а также людям, которые занимаются разбором вредоносных программ. В настоящее время антиэмуляция или антиотладка встречаются в большинстве зловредов, распространяемых с использованием server–side полиморфизма. Понимание технологий, реализованных в Virut.ce, поможет разобраться в этих зловредах и в полиморфных вирусах, использующих аналогичные трюки.