Virut PE Win32.Virut.56 Virus polymorphe à la hausse

**evilfantasy** · #1 21 février 2009, 13:55

Découverte: 11 avril 2007

Dernière version Rapid Release 10 Février 2009 révision 024

Virut se propage par tous. Exe et. Scr fichier sur un ordinateur. Il est polymorphe, ce qui signifie qu'il se répand plus vite que n'importe quel antivirus, il peut contenir. 99,99% du temps la seule solution est un reformatage et de réinstallation. Virut est tellement agressif même déjà infecte les fichiers infectés avec elle-même. C'est un tueur ...

Les virus appartenant à la famille Virut également une porte dérobée IRC-fondé qui permet l'accès non autorisé aux ordinateurs infectés.

En bref. Il n'y a pas de solution pour cette autre qu'une reformater et réinstaller.

Win32/Virut: Microsoft

Symptômes: Les symptômes suivants mai être le signe d'un virus: Win32/Virut infection:

* Le trafic réseau sur le port TCP 65520 à la connexion au serveur IRC proxima.ircgalaxy.pl, sur le canal et pratiquement

* Augmentation de la taille des fichiers infectés

* Les fichiers infectés ne pas en cours d'exécution et ont une date de modification récente de propriété

HJT logs F2 aura une entrée semblable à la présente.

F2 - REG: system.ini: Userinit = C: \ WINDOWS \ system32 \ userinit.exe, C: \ windo A \ TEMP \ Init.exe,

Dr. Web CureIt affiche de nombreux dossiers de ce genre. Remarquez que ce ne sont pas seulement quelques fichiers au hasard. Résume assez bien en place ...

explorer.exe c: \ windows; Win32.Virut.56; Cured.;
studio.scr imagination; c: \ windows; Win32.Virut.56; Cured.;
unregmp2.exe c: \ windows \ inf; Win32.Virut.56; Cured.;
xpnetdiag.exe; c: \ windows \ network diagnostic; Win32.Virut.56; Cured.;
alg.exe c: \ windows \ system32; Win32.Virut.56; Cured.;
Cisvc.exe; c: \ windows \ system32; Win32.Virut.56; Cured.;
clipsrv.exe; c: \ windows \ system32; Win32.Virut.56; Cur ed.;
ctfmon.exe c: \ windows \ system32; Win32.Virut.56; Cure d.;
DLLHost.exe tombait; c: \ windows \ system32; Win32.Virut.56; Cur ed.;
logon.scr; c: \ windows \ system32; Win32.Virut.56; Cured.;
logonui.exe c: \ windows \ system32; Win32.Virut.56; Cur ed.;

Il dit guéri mais ce n'est pas vrai. Virut se propage à la nouvelle cured fichiers c'est donc un processus sans fin d'une opération de nettoyage et d'infecter.

Il est soupçonné d'avoir lancé à partir d'un site web ou p2p sites. Un forum est la suppression des logiciels malveillants de dire qu'ils sont à environ 40% de leur demander de l'aide des utilisateurs sont infectés par Virut maintenant. Depuis il se propage via IRC plus ils attendent pour effacer le disque dur le plus d'utilisateurs se sont infectés.

En attente ou en essayant de le nettoyer, il donne juste que beaucoup plus de temps à infecter les autres. Assez les utilisateurs ont maintenant que le CRI-fondé backdoor zombified partie a beaucoup qui ne l'ont pas compris, ils sont encore infectés. Même apparence propre e-mail / chat pièces jointes provenant de sources connues peuvent être infectés.

Si vous avez un dossier partagé de votre p2p alors que c'est une porte d'entrée de l'IRC pour se connecter à vous, la propagation elle-même, zombie et votre ordinateur ou votre réseau.

Il n'y a pas de remède à cela. Si vous voyez un fichier infecté par Virut immédiatement déconnecter d'Internet et commencer à reformater et réinstaller.

C'est probablement ce qui ne va pas disparaître de sitôt, mais tous les grands fournisseurs ont AV-disant mise à jour pour bloquer cette nouvelle variation.

Bonne chance!

**Hybr! D** · #2 21 février 2009, 14:02

Good post mate, il dugg> http://digg.com/security/Virut_PE_Wi...us_on_the_Rise

**evilfantasy** · #3 21 février 2009, 14:15

Merci!

Je n'ai pas autant d'effort dans un singe dans un post tout en

J'ai lu où une Houston, Texas City réseau de plus de 600 ordinateurs pour près d'une semaine à cause de cela. Pretty méchant fait bugger!

**Hybr! D** · #4 21 février 2009, 14:25

On dirait que vous avez un peu cassé l'actualité, pas beaucoup dans Google sur ce point.

**evilfantasy** · #5 21 février 2009, 14:29

Pour une raison quelconque, il est seulement en cours de discussion, en passant, ou dans des forums privés, il semble. Pas besoin de garder le secret. Un trop grand nombre de techniciens à qui il doit savoir ce qui est en place.

**sjb007** · #6 22 février 2009, 00:51

Venez dans un couple de machines infectées par moi-même, méchant morceau de travail, un seul remède - Format! La plupart des infections provenant de P2P (comme indiqué ci-dessus), de sorte une bonne raison pour les usagers sur place pour emballer limewire et ces ....!

**Hybr! D** · #7 22 février 2009, 09:01

Pas étonnant que je ne pouvais pas trouver quoi que ce soit, ce mal orthographiés dans le fil de titre, mais correct partout ailleurs, je l'ai changé pour vous mate.

**evilfantasy** · #8 22 février 2009, 09:26

Oui, ils semblent se demandant ce Virut PE.

J'ai trouvé ce blog. Pretty stuff technique mais informatives. Under the Hood: Virut. J'adore la première ligne. "Virut est un freak bizarre entre des logiciels malveillants."

**Glaswegian** · #9 22 février 2009, 13:03

Great post EF!

La seule personne que j'ai vu bien nettoyer une version antérieure de virut a SUBS (pas de surprise là-bas!) - L'utilisateur est restée en ligne tout le temps sur le par, pour des instructions ont été adoptées presque immédiatement. Cette nouvelle version semble être bien pire si ...

**evilfantasy** · #10 22 février 2009, 14:57

SUBS serait l'une des personnes, peut-être la seule personne, je la confiance pour être en mesure de fixer dans un forum Virut réglage.

J'ai vu une offre d'un correctif sur le MBAM forums, mais il est assez complexe et ne ressemble pas à cela fonctionnerait. Quelque chose comme un lecteur et d'asservissement de nettoyage et / ou transférer / suppression de fichiers. Pour moi, ce résultat serait tout simplement en deux disques infectés au lieu d'un seul et reformater / réinstaller serait beaucoup plus facile car vous avez encore pour réinstaller tous les logiciels tiers et ainsi de suite.