Virus.Win32.Virut.ce

02:03 | 04.03.2010

Dòng virus lây file nguy hiểm

Cách thức lây nhiễm:

Khi virus được kích hoạt, nó sẽ hook tất cả các hàm sau của các tiến trình đang chạy trên hệ thống:

o    ZwDeviceIoControlFile

o    ZwCreateFile

o    ZwOpenFile

o    ZwCreateProcess

o    ZwCreateProcessEx

o    ZwQueryInformationProcess

Chính vì vậy khi một tiến trình đang chạy, nếu nó gọi các hàm CreateFile để mở một file exe, scr thì  file được mở cũng sẽ bị nhiềm virus. Virus sẽ kiểm tra các file, nếu tên của file bắt đầu bằng “WINC”, “WCUN”, “WC32”, “PSTO” thì virus sẽ bỏ qua và không lây nhiễm.

Cách thức phá hoại:

Sau khi hook các process trong hệ thống, virus sẽ inject một remote thread vào process winlogon.exe. Thread này sẽ kết nối vào những trang web của kẻ phát tán virus và down các phần mềm độc hại khác về máy và thực thi.

Ngoài các file có khả năng thực thi thông thường như exe, scr. Thì Virus.Win32.Virut.Ce còn tìm các file có đuôi php, asp, htm để chèn vào các iframe có chứa đường link dẫn đến các trang web độc hại mà chứa các đoạn mã nguy hiểm

Không những thế virus sẽ tìm các ổ cứng di động được gắn vào máy tính bị nhiễm và tạo các file autorun vào các ổ cứng đó.

Cách thưc biến đổi của virus:

-          Thân virus được chia thành nhiều đoạn, khi lây nhiễm vào một file thì thứ tự các đoạn này sẽ được xáo trộn một cách ngẫu nhiên, do đó tạo ra các đoạn mã virus khác nhau với mỗi file bị lây khác nhau.

-          Ngoài việc biến đổi code của nó virut này còn chèn thêm rất nhiều mã rác vào code thật để làm tăng khó khăn cho người phân tích.

Cách kiểm tra xem máy đã bị nhiễm virus hay chưa:

            Có nhiều dấu hiệu có thể nhận biết được rằng một máy đã bị nhiễm Virut.Ce, một trong các dấu hiệu để nghi ngờ là:

-          Khi bị nhiễm virus thì máy tính chậm hơn bình thường

-          Cắm usb vào máy thì thấy xuất hiện các file autorun.inf

-          Có thể sử dụng CodeWalker để quét các process đang chạy trong hệ thống. Nếu tất cả các process đều bị hook các hàm như đã nêu ở trên thì là máy tính đang bị nhiễm virus.

-          Hiện tại CMC đang phát triển và hoàn thiện Tool diệt virus này.

Bản để in Chia sẻ

Tin mới nhận

Các tin khác