Dịch vụ‎ > ‎Diệt virus‎ > ‎2.Danh sách Virus‎ > ‎

Virus.Win32.Virut.ce - Virus lây file nguy hiểm

Virus.Win32.Virut.ce - Virus lây file nguy hiểm

Kì này, CMC InfoSec cảnh báo tới tất cả người dùng về một dòng virus lây file nguy hiểm Virus.Win32.Virus.ce

Đặc điểm chung

Có nhiều dấu hiệu để nhận biết được máy tính bị nhiễm Virut.Ce, một trong các dấu hiệu để nghi ngờ là:

- Khi bị nhiễm virus thì máy tính chậm hơn bình thường
- Cắm usb vào máy thì thấy xuất hiện các file autorun.inf
- Sử dụng CodeWalker để quét các process đang chạy trong hệ thống. Nếu tất cả các process đều bị hook các hàm như đã nêu ở trên thì là máy tính đang bị nhiễm virus.
- Hiện tại CMC đang phát triển và hoàn thiện Tool diệt virus này.

Hình thức lây nhiễm

Khi virus được kích hoạt, nó sẽ hook tất cả các hàm sau của các tiến trình đang chạy trên hệ thống:

o ZwDeviceIoControlFile
o ZwCreateFile
o ZwOpenFile
o ZwCreateProcess
o ZwCreateProcessEx
o ZwQueryInformationProcess

Chính vì vậy khi một tiến trình đang chạy, nếu nó gọi các hàm CreateFile để mở một file “.exe”, “.scr” thì file được mở cũng sẽ bị nhiềm virus. Virus sẽ kiểm tra các file, nếu tên của file bắt đầu bằng “WINC”, “WCUN”, “WC32”, “PSTO” thì virus sẽ bỏ qua và không lây nhiễm.

Tác hại

Sau khi hook các tiến trình trong hệ thống, virus sẽ inject một remote thread vào tiến trình winlogon.exe. Thread này sẽ kết nối vào những trang web của kẻ phát tán virus và tải các phần mềm độc hại khác về máy và thực thi.

Ngoài các file có khả năng thực thi thông thường như “.exe”, “.scr”. Thì Virus.Win32.Virut.Ce còn tìm các file có đuôi .php, .asp, .htm để chèn vào các iframe có chứa đường link dẫn đến các trang web độc hại có chứa các đoạn mã nguy hiểm. Không những vậy virus sẽ tìm các ổ cứng di động được gắn vào máy tính bị nhiễm và tạo các file autorun vào các ổ cứng đó.

Cách thức biến đổi của virus:

- Bản thân virus được chia thành nhiều đoạn, khi lây nhiễm vào một file thì thứ tự các đoạn này sẽ được xáo trộn một cách ngẫu nhiên, do đó tạo ra các đoạn mã virus khác nhau với mỗi file bị lây khác nhau.
- Ngoài việc biến đổi code của nó virut này còn chèn thêm rất nhiều mã rác vào code thật để làm tăng khó khăn cho người phân tích.
Comments