[evilfantasy]

Discovered: 11 april 2007

Senast snabba versionen den 10 februari 2009 revidering 024

Virut sprider sig genom varje. Exe och. Scr fil på en dator. Det är polymorfa, vilket innebär att den sprider sig snabbare än något antivirusprogram kan innehålla det. 99,99% av den tid som den enda lösningen är ett formatera och installera. Virut är så aggressiva att det även smittar redan infekterade filer med sig själv. Det är en dator mördaren ...

Virus som tillhör Virut familjen också innehålla en IRC-baserad bakdörr som ger obehörig tillgång till infekterade datorer.

Kort sagt. Det finns ingen lösning på detta annat än ett formatera och installera.

Win32/Virut: Microsoft

Symtom: Följande symtom kan tyda på en Virus: Win32/Virut infektion:

* Nätverkstrafik på TCP-port 65520 med koppling till IRC-servern proxima.ircgalaxy.pl på kanal & gott

* Ökning av filstorlek av infekterade filer

* Infekterade filer inte under genomförandet och har nyligen ändrat datum egendom

HJT loggarna kommer att ha en F2 posten som liknar detta.

F2 - REG: system.ini: UserInit = C: \ WINDOWS \ system32 \ userinit.exe C: \ WINDO WS \ TEMP \ init.exe,

Dr Web CureIt kommer att visa många filer så här. Observera att dessa inte är några slumpmässiga filer. Ganska mycket summor upp det ...

explorer.exe c: \ windows, Win32.Virut.56, botade.;
fantasi studio.scr, c: \ windows, Win32.Virut.56, botade.;
unregmp2.exe, c: \ windows \ inf; Win32.Virut.56, botade.;
xpnetdiag.exe och c: \ windows \ nätet diagnostik; Win32.Virut.56, botade.;
alg.exe c: \ windows \ system32; Win32.Virut.56, botade.;
cisvc.exe, c: \ windows \ system32; Win32.Virut.56, botade.;
clipsrv.exe, c: \ windows \ system32; Win32.Virut.56; Cur ed.;
Ctfmon.exe, c: \ windows \ system32; Win32.Virut.56, Cure d.;
dllhost.exe c: \ windows \ system32; Win32.Virut.56; Cur ed.;
logon.scr, c: \ windows \ system32; Win32.Virut.56, botade.;
logonui.exe, c: \ windows \ system32; Win32.Virut.56; Cur ed.;

Det säger botas men det är inte sant. Virut smörfettsprodukter tillbaka till nyligen cured filer så det är en never ending process för rengöring och smittar.

Det tros ha startat från en p2p webbplats eller webbplatser. En sabotageprogram avlägsnande forum säger de till ca 40% av sina användare som begär hjälp är infekterade med Virut nu. Eftersom det också sprids via IRC längre de väntar med att torka av köra fler användare det finns att bli smittade.

Väntar eller försöker rengöra den bara ger det så mycket längre för att infektera andra. Nog användare har det nu att IRC-baserade bakdörr del har zombified många som inte har räknat ut att de är smittade ännu. Även till synes rena mail / chatt bilagor från kända goda källor kan vara smittade.

Om du har en delad mapp på din p2p så är det en inkörsport för IRC för att ansluta till dig, sprider sig, och zombie din dator eller nätverk.

Det finns inget säkert botemedel mot detta. Om du ser en fil infekterad med Virut genast koppla ner från Internet och börja formatera och installera.

Detta är förmodligen inte kommer att försvinna någon gång snart, men alla större AV säljare har förmodligen uppdateras för att stoppa denna nya variant.

Lycka till!

[Hybr! D]

Bra post mate, Dugg det> http://digg.com/security/Virut_PE_Wi...us_on_the_Rise

[evilfantasy]

Tack!

Jag har inte lagt så mycket möda på att en BRÄNNSKADA post på ett tag

Jag läste om en Houston, Texas City hade över 600 datorer för nästan en vecka på grund av detta. Ganska otäck JÄVEL faktiskt!

[Hybr! D]

Det verkar som du ganska bröt nyheter, inte mycket i Google om detta.

[evilfantasy]

Av någon anledning är det bara diskuteras i förbigående eller i privata fora det verkar. Du behöver inte hålla det hemligt. Alltför många Techs ute som borde veta vad som är upp.

[sjb007]

Kom över ett par infekterade maskiner själv otäck arbete, bara ett botemedel - Format! De flesta infektioner kommer in från P2P (enligt ovan) så en god anledning för användarna ute att packa upp LimeWire och så ....!

[Hybr! D]

Inte undra på att jag kunde inte hitta någonting, du spält fel i tråden titeln men korrekt överallt annars, Jag ändrade det för dig nu kompis.

[evilfantasy]

Ja de verkar vara att ringa detta en Virut PE.

Jag hittade denna bloggpost. Pretty tekniska grejer men informativa. Enligt Hood: Virut. Jag älskar den första raden. "Virut är en konstig freak bland sabotageprogram."

[Glasgowbornas]

Great post EF!

Den enda person jag har sett framgångsrikt rengöra en tidigare version av virut var följande (ingen överraskning där!) - Användaren stannade på nätet hela tiden SUBS var på, så instruktioner hade antagit nästan omedelbart. Denna nyare versionen verkar vara mycket värre men ...

[evilfantasy]

SUBS skulle vara en av de människor, kanske den enda person jag litar på att kunna fastställa Virut i ett forum inställningen.

Jag såg någon erbjuder en lösning på MBAM forum men det var ganska komplicerat och inte låter som det skulle fungera. Något liknande slaving en disk och städning / överföra / ta bort filer. För mig skulle det bara leda till två infekterade enheter istället för en och formatera / installera om skulle vara mycket lättare, eftersom du ändå måste installera om alla program från tredje part och så vidare.