[evilfantasy]

Discovered: 11. april 2007

Siste Rapid versjonen 10. februar 2009 revisjon 024

Virut spres gjennom alle. Exe og. Scr fil på en datamaskin. Det er polymorphic, noe som betyr at det sprer seg raskere enn noen antivirusprogrammer kan inneholde det. 99,99% av tiden den eneste løsningen er en reformatere og installere. Virut er så aggressive det enda infects allerede infiserte filer med seg selv. Det er en datamaskin morder ...

Virus som tilhører den Virut familien også inneholde en IRC-basert bakdør som gir uvedkommende tilgang til infiserte datamaskiner.

I korte. Det er ingen løsning på dette annet enn en reformatere og installere.

Win32/Virut: Microsoft

Symptomer: Følgende symptomer kan være veiledende for et virus: Win32/Virut infeksjon:

* Nettverkstrafikk på TCP-port 65520 med forbindelse til IRC server proxima.ircgalaxy.pl på kanal og virtu

* Økning i filstørrelse på infiserte filer

* Infiserte filer svikter under kjøring og har en siste endringsdato eiendom

HJT loggene har en F2 oppføring som ligner på dette.

F2 - REG: system.ini: UserInit = C: \ WINDOWS \ system32 \ userinit.exe C: \ WINDO var \ Temp \ init.exe,

Dr. Web CureIt viser mange filer som dette. Legg merke til at disse ikke bare noen tilfeldige filer. Ganske mye summer det opp ...

explorer.exe; c: \ windows; Win32.Virut.56; kurert.;
fantasien studio.scr; c: \ windows; Win32.Virut.56; kurert.;
unregmp2.exe; c: \ windows \ inf; Win32.Virut.56; kurert.;
xpnetdiag.exe; c: \ windows \ nettverket diagnoseinformasjon; Win32.Virut.56; kurert.;
alg.exe; c: \ windows \ system32; Win32.Virut.56; kurert.;
cisvc.exe; c: \ windows \ system32; Win32.Virut.56; kurert.;
clipsrv.exe; c: \ windows \ system32; Win32.Virut.56; Cur red.;
Ctfmon.exe; c: \ windows \ system32; Win32.Virut.56; Cure d.;
Dllhost.exe; c: \ windows \ system32; Win32.Virut.56; Cur red.;
logon.scr; c: \ windows \ system32; Win32.Virut.56; kurert.;
logonui.exe; c: \ windows \ system32; Win32.Virut.56; Cur red.;

Det sier kurert men det er ikke sant. Virut sprer tilbake til den nylig kurert filer så det er en aldri slutter prosessen med renhold og infiserer.

Det antas å ha startet fra et P2P-nettsted eller nettsteder. En malware fjerning forum sier de er på om lag 40% av sine brukere som ber om hjelp er infisert med Virut nå. Siden det også spres via IRC lengre de venter til å tørke av kjøre flere brukere er det å bli smittet.

Venter eller prøver å rense det bare gir det mye lenger tid å infisere andre. Nok brukere har det nå at IRC-basert bakdør del har zombified mange som ikke har funnet ut de er smittet ennå. Selv tilsynelatende ren e / chat vedlegg fra velkjente kilder kan være infisert.

Hvis du har en delt mappe for P2P så det er en inngangsport for IRC å koble seg til deg, spre seg, og zombie maskinen eller nettverket.

Det er ingen sikker kur for dette. Hvis du ser en fil infisert med Virut umiddelbart koble fra Internett og starte omformatering og installere.

Dette vil sannsynligvis ikke gå bort helst snart men alle de store AV leverandører har ha oppdatert til å blokkere denne nye varianten.

Lykke til!

[Hybr! D]

Bra innlegg kompis, dugg det> http://digg.com/security/Virut_PE_Wi...us_on_the_Rise

[evilfantasy]

Takk!

Jeg har ikke sagt at mye arbeid i en svi innlegg på en stund

Jeg leste hvor Houston, Texas City nettverket hadde over 600 maskiner nede i nesten en uke på grunn av dette. Ganske ekkel Stikk indeed!

[Hybr! D]

Virker som om du ganske mye brøt nyheter, ikke mye i Google om dette.

[evilfantasy]

Annen grunn er det bare drøftes i forbifarten eller i private fora det synes. Ingen grunn til å holde det hemmelig. For mange techs der ute som burde vite hva som skjer.

[sjb007]

Kommer over et par av infiserte maskiner selv, stygg stykke arbeid, bare en kur - Format! De fleste infeksjoner som kommer inn fra P2P (som nevnt ovenfor), slik en god grunn for brukere der ute til å pakke sammen LimeWire og slike ....!

[Hybr! D]

Ikke rart jeg ikke fant noe, du spelt det galt i tråden tittelen men riktig alle andre steder, jeg endret det for deg nå kompis.

[evilfantasy]

Ja de synes å være å kalle dette en Virut PE.

Jeg fant dette blogginnlegget. Pretty tekniske ting, men informativ. Under Hood: Virut. Jeg elsker den første linjen. "Virut er en merkelig lune blant malware."

[Glaswegian]

Great post EF!

Den eneste personen jeg har sett vellykket rens en tidligere versjon av virut var ubåter (ingen overraskelse der!) - Brukeren oppholdt pålogget hele tiden ubåter var på, så instruksjonene ble vedtatt nesten umiddelbart. Denne nye versjonen ser ut til å være mye verre om ...

[evilfantasy]

ubåter ville være en av dem, kanskje den eneste personen ville jeg tillit til å kunne fikse Virut i et forum innstillingen.

Jeg så noen tilbyr en fiks på MBAM fora men det var ganske komplisert og ikke høres ut som det ville fungere. Noe sånt som slaving en stasjon og renhold / overføring til / slette filer. For meg ville det bare føre til to infisert stasjoner i stedet for en og omformatere / installere ville være mye enklere, siden du fortsatt har til å installere alle tredjeparts programvare og så videre.