Virut PE Win32.Virut.56 polimorficzny wirus na Wzrost

**evilfantasy** · #1 21 lutego 2009, 13:55

Discovered: 11 kwietnia 2007

Najnowsze szybkiej wersji 10 lutego 2009 rewizji 024

Virut smarowania przez co. Exe i. Ekr pliku na komputerze. Jest polimorficzny, co oznacza, że rozprzestrzenia się szybciej niż jakikolwiek antywirusowe mogą zawierać go. 99,99% czasu jedynym rozwiązaniem jest ponowne sformatowanie i ponowna instalacja. Virut jest tak agresywny nawet infects już zainfekowanych plików z samym sobą. It's a killer komputera ...

Wirusy należące do rodziny Virut również zawierać IRC oparte na tylne zapewnia, że nieautoryzowany dostęp do zainfekowanych komputerów.

W skrócie. Nie istnieje rozwiązanie tego innego niż sformatować i ponownie zainstalować.

Win32/Virut: Microsoft

Objawy: Następujące objawy mogą wskazywać na wirusa: Win32/Virut zakażenia:

* Ruch sieciowy na porcie TCP 65520 z podłączeniem do serwerów IRC proxima.ircgalaxy.pl, na kanale & virtù

* Zwiększenie rozmiaru pliku zainfekowane pliki

* Zainfekowanych plików w trakcie realizacji i nie mają ostatnich modyfikacji własności

HJT kłody będą miały F2 wpis podobny do tego.

F2 - REG: system.ini: Userinit = C: \ WINDOWS \ system32 \ userinit.exe, C: \ WINDO WS \ TEMP \ init.exe,

Dr Web CureIt pokaże wiele plików podobny do tego. Zauważ, że nie są to tylko kilka losowych plików. Pretty much sum it up ...

Explorer.exe c: \ windows; Win32.Virut.56; Cured.;
wyobraźni studio.scr; c: \ windows; Win32.Virut.56; Cured.;
unregmp2.exe; c: \ windows \ inf; Win32.Virut.56; Cured.;
xpnetdiag.exe; c: \ windows \ sieci diagnostycznych; Win32.Virut.56; Cured.;
alg.exe c: \ windows \ system32; Win32.Virut.56; Cured.;
cisvc.exe c: \ windows \ system32; Win32.Virut.56; Cured.;
clipsrv.exe; c: \ windows \ system32; Win32.Virut.56; Cur ed.;
ctfmon.exe c: \ windows \ system32; Win32.Virut.56; Cure d.;
Dllhost.exe c: \ windows \ system32; Win32.Virut.56; Cur ed.;
Logon.scr; c: \ windows \ system32; Win32.Virut.56; Cured.;
logonui.exe; c: \ windows \ system32; Win32.Virut.56; Cur ed.;

Twierdzi cured ale nie jest to prawda. Virut smarowania powrót do nowo cured pliki tak jest to nigdy nie kończący się proces czyszczenia i zarażenia.

To Uważa się, że zaczął od p2p witryny lub witryn. Jeden usuwania złośliwego oprogramowania forum mówi są na około 40% ich użytkowników wnioskiem pomóc zakażonych Virut teraz. Ponieważ to także do smarowania za pośrednictwem IRC tym dłużej czekać wytrzeć do prowadzenia większej liczby użytkowników jest infekcją.

Oczekiwanie lub próbuje oczyścić go tylko daje to, że wiele już zarażać innych. Dość użytkownicy mają teraz, że IRC oparty tylne części zombified ma wielu, którzy nie zorientowali się, że są zakażone jeszcze. Nawet pozornie czyste email / czat załączniki znanych dobrych źródeł mogą być zarażone.

Jeśli masz udostępnionego folderu dla p2p to jest bramą do IRC w celu nawiązania z Tobą, rozprzestrzeniania się i zombie komputera lub sieci.

Nie ma lekarstwa na tę bezpieczne. Jeśli widzisz jednego pliku zakażonych Virut natychmiast rozłączyć się z Internetem i rozpocząć ponowne sformatowanie i ponowna instalacja.

To prawdopodobnie nie odejdę każdej chwili szybko, ale wszystkich głównych producentów AV ma rzekomo aktualizacja aby zablokować tę nową odmianę.

Powodzenia!

**Hybr! D** · #2 21 lutego 2009, 14:02

Dobra wiadomość oficer, to dugg> http://digg.com/security/Virut_PE_Wi...us_on_the_Rise

**evilfantasy** · #3 21 lutego 2009, 14:15

Dzięki!

Mam, że nie można wprowadzać wiele wysiłku w osmalić post in a while

Czytam gdy Houston, Texas City sieci miało ponad 600 komputerów dla prawie tygodnia z powodu tego. Pretty nasty sodomita indeed!

**Hybr! D** · #4 21 lutego 2009, 14:25

Wydaje się, jak ty bardzo popsuł wiadomości, niewiele w Google w tej sprawie.

**evilfantasy** · #5 21 lutego 2009, 14:29

Z jakiegoś powodu to tylko omawiane w mijania lub prywatne forum wydaje. Nie musisz trzymać ją w tajemnicy. Zbyt wiele tam techs którzy powinni wiedzieć co jest grane.

**sjb007** · #6 22 lutego 2009, 00:51

Natknąć kilka zainfekowanych maszyn siebie, paskudny kawałek pracy, tylko jedno lekarstwo - Format! Większość infekcji pochodzących z sieci P2P (jak wspomniano wyżej), więc jeden dobry powód dla użytkowników tam spakować się i takie LimeWire ....!

**Hybr! D** · #7 22 lutego 2009, 09:01

Nic dziwnego, nie mogłem znaleźć nic, orkisz jest to złe w wątku tytuł, ale poprawne wszędzie, zmieniłem go teraz mate.

**evilfantasy** · #8 22 lutego 2009, 09:26

Tak, one wydają się być wzywającą ten Virut PE.

Znalazłem tego blogu. Pretty technicznych rzeczy, ale informacje. Pod Hood: Virut. Uwielbiam pierwszy wiersz. "Virut jest dziwne freak wśród złośliwego oprogramowania."

**Glaswegian** · #9 22 lutego 2009, 13:03

Wielki post EF!

Jedyną osoba, I've seen skutecznie oczyści starszej wersji virut został subs (dziwnego istnieje!) - Użytkownik przebywał cały czas on-line subs było, więc instrukcje były uchwalone niemal natychmiast. To nowsza wersja wydaje się być jednak znacznie gorzej ...

**evilfantasy** · #10 22 lutego 2009, 14:57

subs byłby jednym z ludzi, może być jedyną osobą, chciałbym zaufania, aby móc ustalić Virut w forum ustawienie.

Widziałam ktoś oferty ustala się na forum MBAM ale było to dość skomplikowane i nie brzmi jak to działa. Coś jakby slaving dysku i czyszczenia / przenoszenie / usuwanie plików. Dla mnie to po prostu wynik w dwóch zarażonych dysków zamiast jednego i sformatować / ponowna byłoby dużo łatwiejsze, ponieważ wciąż masz ponowna wszystkich oprogramowania i tak dalej.