Tổng quan về mẫu malware Virus.Win32.Virut.ce
(Phần I)

Trong bài viết sau, Quản Trị Mạng sẽ giới thiệu với các bạn về 1 số loại
virus đa hình – ở đây là Virus.Win32.Virut và các biến thể dạng ce của
nó.
Tại sao lại gọi là Virut.ce?
Virut.ce hiện đang là 1 trong những mẫu malware có sức lây lan rộng nhất
trên các loại máy tính cá nhân. Nó lây nhiễm đến tất cả các file thực thi (đuôi
*.exe trong môi trường Windows) sử dụng những công nghệ tinh vi nhất để
trốn tránh khỏi các phần mềm bảo mật. Cách thức lây lan của chúng chủ yếu
qua các mô hình máy chủ đa hình, khắc hẳn so với khoảng thời gian 5 năm
trước đây. 1 phần nữa là do việc sử dụng và xây dựng các dữ liệu mô phỏng
cũng tăng mạnh. Mặt khác, “công nghệ” được áp dụng vào các mẫu Virut.ce
phản ánh khá chính xác về mức độ tinh vi và kỹ thuật của những phương
pháp được sử dụng để tạo ra malware. Các công cụ chống lại quá trình mô
phỏng và phân tích dữ liệu được áp dụng rộng rãi, ví dụ như việc “đếm” các
bộ đồng hóa hàm công thức nhận được khi sử dụng các chỉ dẫn về rdtsc nhiều
tầng lớp, và hàng loạt chức năng “gọi” GetTickCount API hoặc quá trình
“gọi” các hàm API giả mạo khác
Virut – là 1 trong những dạng virus có khả năng lây lan nhanh và mạnh nhất,
với tần suất xuất hiện trung bình 1 biến thể mới trong vòng 1 tuần. Điều này
một lần nữa khẳng định về khả năng của những kẻ đứng đằng sau và trực tiếp
tạo ra các dạng virus – đang tiến gần hơn trong việc tiếp cận và điều khiển cơ
sở dữ liệu của các chương trình antivirus, vì vậy chúng có thể dễ dàng thực
hiện các hành động cảnh báo và lẩn trốn mỗi khi có phiên bản nhận dạng


Số liệu thống kê của Kaspersky Lab vể 20 mẫu virus được phát hiện nhiều
nhất từ tháng 01/2009 đến tháng 05/2010
Khi nhìn vào số liệu dưới đây, mọi người có thể dễ dàng hình dung được mức
độ tiến triển và lây lan mạnh mẽ của Virut.ce tăng lên theo thời gian:
function / entry, quá trình giải mã của body theo dạng tĩnh, và tính thực thi
của quá trình payload.