Virut PE Win32.Virut.56 Polymorphic Virus na vzestupu

**evilfantasy** · #1 21.února 2009, 13:55

Discovered: 11. dubna 2007

Rapid nejnovější verzi 10. února 2009 revizi 024

Virut se šíří prostřednictvím každý. Exe a. Scr souboru v počítači. To je polymorfní, což znamená, že se šíří rychleji, než jakýkoli antivirový může obsahovat to. 99,99% času jediným řešením je přeformátovat a přeinstalovat. Virut je tak agresivní, že dokonce napadá již infikované soubory samotné. Je to počítač, vrah ...

Viry patřící do rodiny Virut také obsahovat IRC-založený, který poskytuje backdoor neoprávněnému přístupu do napadených počítačů.

V krátké. Neexistuje žádné řešení pro tuto jinou než přeformátovat a přeinstalovat.

Win32/Virut: Microsoft

Příznaky: Tyto příznaky mohou být znamením a Virus: Win32/Virut infekce:

* Síťový provoz na TCP port 65520 s připojením k IRC serveru proxima.ircgalaxy.pl, na kanálu & prak

* Zvýšení velikosti souboru infikovaných souborů

* Infikované soubory selhání během realizace a mít posledních editována datum majetku

HJT logy budou mít F2 záznam podobný tomuto.

F2 - REG: system.ini: UserInit = C: \ WINDOWS \ system32 \ userinit.exe, C: \ WINDO ZS \ TEMP \ init.exe,

Dr. Web CureIt ukáže mnoho souborů, jako je tento. Všimněte si, že se nejedná jen nějaký náhodný soubory. Docela velké částky to ...

explorer.exe c: \ windows; Win32.Virut.56; Cured.;
představivost studio.scr, c: \ windows; Win32.Virut.56; Cured.;
unregmp2.exe, c: \ windows \ inf; Win32.Virut.56; Cured.;
xpnetdiag.exe, c: \ windows \ síť diagnostických; Win32.Virut.56; Cured.;
alg.exe c: \ windows \ system32; Win32.Virut.56; Cured.;
cisvc.exe, c: \ windows \ system32; Win32.Virut.56; Cured.;
clipsrv.exe, c: \ windows \ system32; Win32.Virut.56; Cur ed.;
Program Ctfmon.exe, c: \ windows \ system32; Win32.Virut.56; Cure d.;
dllhost.exe, c: \ windows \ system32; Win32.Virut.56; Cur ed.;
logon.scr, c: \ windows \ system32; Win32.Virut.56; Cured.;
logonui.exe, c: \ windows \ system32; Win32.Virut.56; Cur ed.;

Píšou cured, ale to není pravda. Virut se šíří zpět do nově cured soubory tak je to nikdy nekončící proces čištění a nakažení.

Je to, že se začaly od p2p webových stránkách. Jeden malware odstranění fórum je rčení, které jsou přibližně na úrovni 40% své uživatele požadující pomoci jsou infikováni Virut hned. Vzhledem k tomu, že se šíří i přes IRC tím déle budou čekat na otřete řídit více uživatelů se dostat nakažených.

Čeká se, nebo se snaží vyčistit jen to, že dává mnohem déle nakazit ostatní. Dost uživatelů si nyní, že IRC-založené backdoor část má zombified mnozí, kteří nejsou přišel na které jsou infikované dosud. Dokonce i zdánlivě čistý email / chat přílohy ze známé zdroje mohou být infikován.

Máte-li sdílené složky pro vaše p2p potom, že je vstupní branou pro IRC připojit k vám, šíření, a zombie počítače nebo sítě.

Neexistuje žádný bezpečný lék na tohle. Vidíte-li jeden soubor napaden Virut okamžitě odpojit od internetu a spustit přeformátování a přeinstalovat.

To asi nebude odejít kdykoliv brzy, ale všech velkých AV prodejci mají údajně aktualizováno zablokovat tuto novou variantu.

Hodně štěstí!

**Hybr! D** · #2 21.února 2009, 14:02

Dobrý post kámo, to dugg> http://digg.com/security/Virut_PE_Wi...us_on_the_Rise

**evilfantasy** · #3 21.února 2009, 14:15

Díky!

Mám nenabízených že mnoho úsilí do připálenina post ve chvíli

Četl jsem, kde Houston, Texas City síť měla více než 600 počítačů pro téměř týden kvůli tomuto. Pretty nasty sodomita indeed!

**Hybr! D** · #4 21.února 2009, 14:25

Zdá být jako ty velké míry prolomil novinky, není moc na Google v této oblasti.

**evilfantasy** · #5 21.února 2009, 14:29

Z nějakého důvodu je to pouze v době projednává v procesu, nebo v soukromých fórech se zdá. Není třeba, aby ji udrželi v tajnosti. Příliš mnoho technici tam venku, kteří by měli vědět, co se děje.

**sjb007** · #6 22.února 2009, 00:51

Potkat pár infikovaných strojů sám, nasty dílo, jen jeden lék - formát! Většina infekcí pocházející z P2P (jak je uvedeno výše), a to jeden dobrý důvod pro uživatele tam to zabalit LimeWire a takové ....!

**Hybr! D** · #7 22.února 2009, 09:01

Není divu, nemohl jsem najít nic, ty to špatně napsané ve vlákně správný název, ale všude jinde, jsem to změnil na vás hned mate.

**evilfantasy** · #8 22.února 2009, 09:26

Ano, zdá se, že volá tento Virut PE.

Našel jsem tento blog post. Pretty technické věci, ale informativní. Podle Hood: Virut. Miluju první linii. "Virut je podivné monstrum mezi malware."

**Glasgowa** · #9 22.února 2009, 13:03

Velká post EF!

Jediná osoba, I've seen úspěšně vyčisť starší verzi virut bylo subs (žádné překvapení tam!) - Uživatel online zůstala po celou dobu byla na subs, tak pokyny byly vydány téměř okamžitě. Novější verze se zdá být mnohem horší, když ...

**evilfantasy** · #10 22.února 2009, 14:57

subs by být jedním z lidí, možná jedinou osobou, bych věřit, aby bylo možné stanovit Virut v nastavení fóra.

Viděl jsem až někdo nabídne opravu na MBAM fór, ale to bylo docela složité a nebyl zvuk, jako by to fungovat. Něco podobného zotročení disku a čištění / převést / mazání souborů. Pro mě by to jen výsledek ve dvou nakažených disky místo jednoho a přeformátujete / přeinstalovat by bylo mnohem snazší, protože máte stále přeinstalujete všechny softwaru třetích stran a tak dále.