Virut PE Win32.Virut.56 polimorfs vīrusa Rise

**evilfantasy** · #1 Februāris 21, 2009, 13:55

Atklājējs: 11 aprīlis 2007

Jaunākās Rapid Release version 10 februāris 2009 pārskatīšana 024

Virut izplatās ar katru. Exe un. Scr failu datora. Tas polimorfs, kas nozīmē, ka tā izplatās ātrāk, nekā jebkurš antivīruss var saturēt to. 99,99% laika vienīgais risinājums ir pārformatēt un pārinstalēt. Virut ir tik agresīvs pat inficē jau inficēti faili ar sevi. Tas ir dators killer ...

Vīrusi, kas pieder Virut ģimenes satur arī IRC balstītas backdoor, kas nodrošina nesankcionētu piekļuvi inficētiem datoriem.

In short. Nav šim nav risinājums pārformatēt un pārinstalēt.

Win32/Virut: Microsoft

Simptomi: Šādi simptomi var norādīt uz vīrusu: Win32/Virut infekcija:

* Tīkla trafiks uz TCP portu 65.520 ar pieslēgumu IRC serveri proxima.ircgalaxy.pl, par kanāliem, Virtu

* Pieaugums faila lielums inficēto failu

* Infected files neizdoties izpildes laikā un ir nesen modifikācijas datuma īpašums

HJT logs būs F2 ieraksts ir līdzīgs šim.

F2 - REG: SYSTEM.INI: Userinit = C: \ WINDOWS \ system32 \ userinit.exe, C: \ WINDO WS \ TEMP \ init.exe,

Dr.Web CureIt rādīs daudz failu, kā šis. Ievērojiet, ka tie nav tikai daži izlases failus. Diezgan daudz summas, līdz ...

explorer.exe c: \ windows; Win32.Virut.56, Cured.;
iztēle studio.scr c: \ windows; Win32.Virut.56, Cured.,
unregmp2.exe c: \ windows \ inf; Win32.Virut.56, Cured.;
xpnetdiag.exe c: \ windows \ tīkla diagnostikas, Win32.Virut.56, Cured.;
alg.exe c: \ windows \ system32; Win32.Virut.56, Cured.;
cisvc.exe c: \ windows \ system32; Win32.Virut.56, Cured.;
clipsrv.exe c: \ windows \ system32; Win32.Virut.56; Cur ed.;
ctfmon.exe: c: \ windows \ system32; Win32.Virut.56, Cure d.;
dllhost.exe c: \ windows \ system32; Win32.Virut.56; Cur ed.;
logon.scr c: \ windows \ system32; Win32.Virut.56, Cured.;
logonui.exe c: \ windows \ system32; Win32.Virut.56; Cur ed.;

Tajā teikts, kaltēta, bet tā nav taisnība. Virut izplatās atpakaļ uz nesen cured failus, lai tas nekad nebeidzas process tīrīšanas un inficēšanu.

Tas ir uzskatīts, ka sākās no P2P interneta vietnes vai vietnēm. Viens malware pārcelšanās forums, ka viņi ir apmēram 40% no lietotājiem, kas pieprasa palīdzību ir inficēti ar Virut tiesības tagad. Jo tas attiecas arī izplatās caur IRC ilgāk viņi gaida lai noslaukiet vadīt vairāk lietotāju, tur kļūst inficēta.

Nogaidīšanas vai mēģināt to tīrīt tikai dod tas, ka daudz vairs inficēt citus. Pietiekami daudz lietotāju ir tagad, ka IRC balstītas backdoor daļa ir zombified daudziem, kas nav izpētījuši, tie ir inficēti yet. Pat šķietami tīrs email / chat pielikumus no zināmiem labas avoti var būt inficēti.

Ja jums ir koplietojamo mapi jūsu P2P, tad tas ir vārti IRC savienot ar Jums, izplatīt sevi, un zombiju datorā vai tīklā.

Nav droši izārstēt to. Ja redzat vienu failu, kas inficēti ar Virut nekavējoties atvienot no interneta un sākt pārformatēšana un pārinstalēt.

Tas droši vien nebūs iet prom jebkurā laikā ātri, bet visi galvenie AV pārdevēji ir domājams atjaunošana bloķēt šo jauno variantu.

Labu veiksmi!

**Hybr! D** · #2 Februāris 21, 2009, 14:02

Good post mates dugg IT> http://digg.com/security/Virut_PE_Wi...us_on_the_Rise

**evilfantasy** · #3 Februāris 21, 2009, 14:15

Pateicība!

Man nav izvirzīti, ka daudz uzmanības apsvilināt amatu, kamēr

Es izlasīju kur Hjūstona City Tīkls pār 600 datorus noteikta gandrīz nedēļu šim. Diezgan vētraina drātēties indeed!

**Hybr! D** · #4 Februāris 21, 2009, 14:25

Šķiet, tāpat kā jūs diezgan daudz izputējis ziņas, nav daudz, Google uz šo.

**evilfantasy** · #5 Februāris 21, 2009, 14:29

Kādu iemeslu dēļ tas ir tikai tiek apspriesti, slīdot vai privātajā forumos šķiet. Nav nepieciešams to saglabāt noslēpumā. Pārāk daudz techs, kas tur, kam vajadzētu zināt, what's up.

**sjb007** · #6 Februāris 22, 2009, 00:51

Sastapties pāris inficēto iekārtu sevi, nekrietns gabals darbu, tikai vienu ārstēšana - Format! Lielākā daļa infekciju nāk no P2P (kā minēts iepriekš), lai viens labs iemesls, lai lietotājiem, kas tur ir sakravāt limewire un tādas ....!

**Hybr! D** · #7 Februāris 22, 2009, 09:01

Nav brīnums, es varētu atrast kaut ko, tu izskaidro to nepareizi pavediena virsrakstā, bet pareizs visur citur, es to nomainījuši jums tagad mate.

**evilfantasy** · #8 Februāris 22, 2009, 09:26

Jā tās liekas aicinot šo vienu Virut PE.

I found this blog post. Diezgan tehnikas stuff, bet informatīvi. Saskaņā Hood: Virut. I love pirmās rindas. "Virut ir dīvaini ķēms vidū malware."

**Glaswegian** · #9 Februāris 22, 2009, 13:03

Great post EF!

Vienīgā persona, es esmu redzējis veiksmīgi tīrīt vecākas versijas Virut bija subs (nav pārsteigums tur!) - Lietotāja palika online visu laiku subs bija, tā norādījumiem tika pieņemts gandrīz uzreiz. Jaunākā versija, šķiet, ir daudz sliktāks, lai gan ...

**evilfantasy** · #10 Februāris 22, 2009, 14:57

subs būtu viens no cilvēkiem, varbūt vienīgā persona, es varētu uzticēties, lai varētu noteikt Virut šajā forumā vidē.

Es redzēju, kāds piedāvājums up nosaka atkarībā MBAM forumos, bet tas bija diezgan sarežģīts un nav skaņu kā tas strādā. Kaut kas līdzīgs slaving disks un tīrīšanas / nodod / izdzēst failus. Man tas būtu tikai dēļ diviem inficētiem diskiem, nevis viens un pārformatēt / pārinstalēt būtu daudz vieglāk, jo jūs vēl pārinstalēt visas trešās puses programmatūru un tā tālāk.

Similar Threads
Pavediens	Thread Starter	Forums	Replies	Last Post
Vai man Legendary Win32 Heur2 Trogen un Win32 Alureon vīrusu? Kā noteikt?	maddawg512	Vīrusu, spiegprogrammatūru un drošība	8	13 oktobris 2009 07:29
Xp Virus Problem - win.32.virut G	Mohi212	Vīrusu, spiegprogrammatūru un drošība	10	16 maijs 2009 14:36
Nolaupīt Šī Analysation - Virut Poss?	Coolyxxx	Vīrusu, spiegprogrammatūru un drošība	4	23 februāris 2009 22:01
New Virut Virus Got Me Bad. EvilFantasy Said pārformatēt. How Do I Do Tas?	actionlover	Windows Operating Systems	5	23 februāris 2009 13:48
Inficēti ar Virus.Win32.Tenga.a; Please help!	ruffryder2k7	Vīrusu, spiegprogrammatūru un drošība	17	20 maijs 2008 10:23