[evilfantasy]

Discovered: April 11, 2007

Seneste hurtige version 10 februar, 2009 revision 024

Virut spredes gennem hver. Exe og. Scr-fil på en computer. Det er polymorfiske, hvilket betyder, at det breder sig hurtigere end nogen antivirus kan indeholde det. 99,99% af den tid, den eneste løsning er en omformatere og geninstallere. Virut er så aggressiv det endnu inficerer allerede inficerede filer med sig selv. Det er en computer dræber ...

Virus hører til Virut familie også indeholde en IRC-baserede bagdør, der giver uautoriseret adgang til inficerede computere.

I korte. Der er ingen løsning på dette andet end en omformatere og geninstallere.

Win32/Virut: Microsoft

Symptomer: Følgende symptomer kan være tegn på en virus: Win32/Virut infektion:

* Netværkstrafik på TCP port 65520 med forbindelse til IRC server proxima.ircgalaxy.pl på kanal & næsten

* Stigning i filstørrelse inficerede filer

* Inficerede filer ikke under udførelsen, og de har en nylig ændrede dato ejendom

HJT logs vil have en F2 indrejse ligner dette.

F2 - REG: system.ini: UserInit = C: \ WINDOWS \ system32 \ userinit.exe, C: \ WINDO VAR \ Temp \ init.exe,

Dr. Web CureIt vil vise mange filer på denne måde. Bemærk, at disse ikke bare nogle tilfældige filer. Stort set summer det op ...

Explorer.exe c: \ windows; Win32.Virut.56; Cured.;
fantasi studio.scr; C: \ Windows; Win32.Virut.56; Cured.;
unregmp2.exe; C: \ Windows \ inf; Win32.Virut.56; Cured.;
xpnetdiag.exe; C: \ Windows \ net-diagnostik; Win32.Virut.56; Cured.;
alg.exe c: \ Windows \ system32; Win32.Virut.56; Cured.;
cisvc.exe c: \ Windows \ system32; Win32.Virut.56; Cured.;
clipsrv.exe; C: \ Windows \ system32; Win32.Virut.56; Cur ed.;
Ctfmon.exe; C: \ Windows \ system32; Win32.Virut.56; Cure d.;
dllhost.exe; C: \ Windows \ system32; Win32.Virut.56; Cur ed.;
logon.scr; C: \ Windows \ system32; Win32.Virut.56; Cured.;
logonui.exe; C: \ Windows \ system32; Win32.Virut.56; Cur ed.;

Det siger cured men det er ikke sandt. Virut breder sig tilbage til den nyligt cured filer så det er en never ending proces med rengøring og inficerer.

Det menes at have startet fra et p2p websted eller websteder. En malware fjernelse forum siger, de er på omkring 40% af deres brugere, der anmoder om hjælp er smittet med Virut lige nu. Da det også spredes via IRC længere de venter med at udslette drevet af flere brugere der bliver smittet.

Venter eller forsøge at rense den lige giver det, at meget længere tid til at inficere andre. Nok brugere har det nu, at IRC-baserede bagdøren del er zombified mange, der ikke har regnet ud, de er smittet endnu. Selv tilsyneladende rene email / chat vedhæftede filer fra kendte gode kilder kan være inficeret.

Hvis du har en delt mappe for din p2p så er en gateway til IRC til at oprette forbindelse til dig, spredt sig, og Zombie din computer eller netværk.

Der er ikke nogen sikker kur mod dette. Hvis du ser en fil er inficeret med Virut straks afbryde forbindelsen til internettet og starte omformatering og geninstallere.

Dette er sandsynligvis ikke vil gå væk enhver tid snart, men alle større AV sælgere har angiveligt opdatering for at blokere denne nye variant.

Held og lykke!

[Hybr! D]

God post mate, dugg it> http://digg.com/security/Virut_PE_Wi...us_on_the_Rise

[evilfantasy]

Tak!

Jeg har ikke sat, at en stor indsats i en enkelt post i et stykke tid

Jeg har læst, hvor en Houston, Texas City netværk havde over 600 computere ned for næsten en uge på grund af dette. Pretty væmmeligt fjumrehoved faktisk!

[Hybr! D]

Synes lige du smuk mange brød nyheder, ikke meget i Google om dette.

[evilfantasy]

Af en eller anden grund er det kun bliver diskuteret i forbifarten eller i private fora det forekommer. Ingen grund til at holde den hemmelig. Alt for mange techs derude hvem der skal vide, hvad de har op.

[sjb007]

Stødt på et par af inficerede maskiner mig, væmmeligt stykke arbejde, blot en kur - Format! De fleste infektioner kommer ind fra P2P (som nævnt ovenfor), så en god grund til brugere derude til at pakke op LimeWire og sådan ....!

[Hybr! D]

Ikke så mærkeligt, jeg kunne ikke finde noget, du har stavet det forkert i tråden titel men korrigere alle andre steder, jeg ændret det for dig nu makker.

[evilfantasy]

Ja, de synes at være kræver dette en Virut PE.

Jeg fandt denne blog post. Pretty tekniske ting, men informative. Under Hood: Virut. Jeg elsker den første linje. "Virut er en underlig lunefuld blandt malware."

[Glaswegian]

Great post EF!

Den eneste person jeg har set med held rense en tidligere version af virut blev Subs (ingen overraskelse der!) - Brugeren opholdt online hele tiden Subs var på, så instruktionerne blev vedtaget næsten øjeblikkeligt. Denne nyere version synes at være meget værre, selv om ...

[evilfantasy]

subs vil være en af de mennesker, måske den eneste person, jeg vil stole på at kunne fastsætte Virut i et forum indstilling.

Jeg så en person tilbyder en rettelse på den MBAM fora men det var temmelig komplekse og ikke lyde som den ville arbejde. Noget lignende slaving et drev og rengøring / overførsel / sletning af filer. For mig ville det blot resultere i to inficerede drev i stedet for én og omformaterer / geninstallere ville være meget lettere, da du stadig nødt til at geninstallere alle tredjeparts software og så videre.