Win32/Virut.A

infectante:

polymorphic

Nomes,aliases:

Win32/Virut.D (AhnLab-V3), W32/Virut.E (AntiVir), Win32.Virtob.2.Gen (BitDefender), W32.Virut.ci (ClamAV), Win32.Virut.5 (DrWeb), W32/Virut.E (Fortinet), Virus.Win32.Virut.e (F-Secure), Virus.Win32.Virut.d (Ikarus), Virus.Win32.Virut.e (Kaspersky), W32/Virut (McAfee), Virus:Win32/Virut.D (Microsoft), Win32/Virut (NOD32v2), W32/Virutas.G (Panda), W32/Vetor-A (Sophos), W32.Virut.B (Symantec), Win32.Virut.Gen (VirusBuster), Win32.Virut.E (Webwasher-Gateway)

Comportamento:

Arquivo infectante parasitário de arquivos PE com extensão .EXE.
Atua como um robô IRC, comunicando na porta TCP 65520, abre um canal #virtu no servidor IRC proxim.ircgalaxy.pl.

O seu primeiro passo ao rodar é infectar o processo (winlogon.exe) e por essa razão os firewalls não identificam o vírus.
Ele infectará arquivos em drives locais e compartilhados. Ele não depende do uso desses arquivos.

Os arquivos infectados têm aproximadamente 9Kb e não manterão o registro de horário original (o registro vai mudar para o horário em que o vírus foi escrito no arquivo).

O vírus é ativado pelo modo clássico:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Nota: o nome do arquivo infectado pode variar. O vírus seleciona um nome dos arquivos infectados na pasta %SystemRoot%\system32.

O vírus não usa nenhuma técnica de camuflagem ou rootkit para esconder arquivos infectados. Usa a tecnologia de injeção de processo que proporciona boa camuflagem.

Há bugs no código do vírus. Quando o vírus produz arquivos infectados ele também cria arquivos não funcionais que também contém o vírus.

Removedor:

Uso:

Rmvirut (checa e repara todos os drives de disco acessíveis)
Rmvirut C: (checa e repara o drive C inteiro)
Rmvirut C: D: (checa e repara os drives C e D)
Rmvirut C:\Windows (checa e repara arquivos na pasta C:\Windows)
Rmvirut C:\Windows\explorer.exe (checa e repara o C:\Windows\explorer.exe)

Destaques do removedor:

- Se o AVG estiver instalado ele se registra corretamente no escudo residente para evitar colisão com ele.

- Se detecta um arquivo trancado (que não pode ser aberto), o removedor programa a remoção para imediatamente após a reinicialização do computador - quando os arquivos do sistama ainda não estão trancados.

- Os arquivos Files RMVIRUS.DOS e Rmvirus32.nt são parte do removedor usados para reparação antes da reinicialização do Windows 98 ou Windows 2000

- É necessário privilégios de administrador para rodar o removedor, que testa isto no começo.

- Arquivos reparados são normalmente diferentes dos originais, mas funcionam.

- Por causa dos danos causados aos arquivos pelo vírus é possível encontrar arquivos reparados porém corrompidos. Eles se tornam corrompidos pela escrita incorreta do código viral durante o processo de infecção. Arquivos corrompidos indetectados (possivelmente ainda contendo parte do código viral) também podem ser encontrados. Isto é causado pela escrita incorreta e não funcional do código viral presente nestes arquivos.

Links Rápidos

Página inicial do AVG
Compre o AVG
Baixe a versão de teste
Atualize o AVG
Registre o AVG
Seja um revendedor