Nguyen Ngoc Dung, вирусный аналитик вьетнамской компании Bkis, специализирующейся на компьютерной безопасности, в своём блоге написал о появлении новой разновидности файлового вируса семейства Sality. На данный момент, вирусы этого семейства являются одними из наиболее технологичных и распространённых файловых вирусов, поражающих компьютеры пользователей Windows.
На этот раз ситуация интересна тем, что в метаморфном коде вируса присутствуют некоторые инструкции MMX (MultiMedia eXtension), которые ранее не импользовались ни в одном из вредоносов-инфекторов.
Sality с MMX
Обычно, все предыдущие версии Sality использовали только коды x86, как и другие представителя этого типа вредоносов. На сегодняшний день, x86 эмулируется большинством антивирусных эвристиков, соответственно, внедрение ММХ призвано затруднить работу эмуляторов и избежать детектирования.
Генерирование инструкций MOVD mm, r/m32
В коде вируса присутствует всего несколько инструкций ММХ. Однако, судя по динамике развития вредоноса и уровню инноваций, следует ожидать появлений новых версий большим количеством MMX-кода. Более того, в новой версии Sality часть кода, бывшая характерной для этого вредоноса и используемая в сигнатурах, изменена с сохранением работоспособности, например:
(R1 и R2 — 32-битные регистры [] указывает на ячейку памяти, адрес которой хранится в регистре)
Код изменён на::
или
или
Таким образом, становится ещё труднее определить, какой код служит для расшифровки вирусной составляющей, а какой — обычный мусор, какие регистры содержать важную информацию, а какие просто запутывают дизассемблирование. Это предъявляет более серьёзные требования к антивирусным программам.
На текущий момент вредонос детектируется следующими программами, в частности, продукт авторов BKAV детектирует его как W32.SalityVM.PE, а продукты Касперского — как Virus.Win32.Sality.bh.
Гарантированно вылечить поражённые файлы можно бесплатной утилитой SalityKiller от «Лаборатории Касперского».
UPD: Справедливости ради надо сказать, что вредонос был определён эвристиком KIS 2011 как Trojan.Win32.Generic, что полностью отвечает функционалу семейства Sality.
На этот раз ситуация интересна тем, что в метаморфном коде вируса присутствуют некоторые инструкции MMX (MultiMedia eXtension), которые ранее не импользовались ни в одном из вредоносов-инфекторов.
Sality с MMX
Обычно, все предыдущие версии Sality использовали только коды x86, как и другие представителя этого типа вредоносов. На сегодняшний день, x86 эмулируется большинством антивирусных эвристиков, соответственно, внедрение ММХ призвано затруднить работу эмуляторов и избежать детектирования.
Генерирование инструкций MOVD mm, r/m32
В коде вируса присутствует всего несколько инструкций ММХ. Однако, судя по динамике развития вредоноса и уровню инноваций, следует ожидать появлений новых версий большим количеством MMX-кода. Более того, в новой версии Sality часть кода, бывшая характерной для этого вредоноса и используемая в сигнатурах, изменена с сохранением работоспособности, например:
R1 = [R2](R1 и R2 — 32-битные регистры [] указывает на ячейку памяти, адрес которой хранится в регистре)
Код изменён на::
R1= 0
R1 = R1 xor [R2]или
R1 = 0
R1 = R1 or [R2]или
R1 = 0
R1 = R1 + [R2]Таким образом, становится ещё труднее определить, какой код служит для расшифровки вирусной составляющей, а какой — обычный мусор, какие регистры содержать важную информацию, а какие просто запутывают дизассемблирование. Это предъявляет более серьёзные требования к антивирусным программам.
На текущий момент вредонос детектируется следующими программами, в частности, продукт авторов BKAV детектирует его как W32.SalityVM.PE, а продукты Касперского — как Virus.Win32.Sality.bh.
Гарантированно вылечить поражённые файлы можно бесплатной утилитой SalityKiller от «Лаборатории Касперского».
UPD: Справедливости ради надо сказать, что вредонос был определён эвристиком KIS 2011 как Trojan.Win32.Generic, что полностью отвечает функционалу семейства Sality.
