Win32/Virut.A
Win32/Virut.A
Vlastní infektor:
polymorfní.
názvy,aliasy:
Win32/Virut.D (AhnLab-V3), W32/Virut.E (AntiVir), Win32.Virtob.2.Gen (BitDefender), W32.Virut.ci (ClamAV), Win32.Virut.5 (DrWeb), W32/Virut.E (Fortinet), Virus.Win32.Virut.e (F-Secure), Virus.Win32.Virut.d (Ikarus), Virus.Win32.Virut.e (Kaspersky), W32/Virut (McAfee), Virus:Win32/Virut.D (Microsoft), Win32/Virut (NOD32v2), W32/Virutas.G (Panda), W32/Vetor-A (Sophos), W32.Virut.B (Symantec), Win32.Virut.Gen (VirusBuster), Win32.Virut.E (Webwasher-Gateway)
Chování:
Parazitický infektor PE souborů s příponou .EXE.
Chová se jako IRC bot, komunikuje na TCP portu 65520, otevírá kanál #virtu na IRC serveru proxim.ircgalaxy.pl
Po spuštění injektuje proces (winlogon.exe), díky tomu je "skrytý" pro firewall. Infikuje soubory na discích bez ohledu na to zda jsou spouštěny. Napadá jak místní tak síťové disky.
Infikovaný soubor je prodloužen o cca 9kB. Nezachovává se ani původní datum, datum souboru je nastaveno na dobu zápisu viru.
Spouštení je zajištěno klasicky pomocí záznamů v registry
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Pozor, jméno infikovaného souboru se může lišit. Používá se některý z infikovaných souborů v složce %SystemRoot%\system32.
Pro infikované soubory nepoužívá rootkit nebo stealth techniky, skrývá jej vlastní technologie injektáže procesu do běžící aplikace.
V kódu viru jsou chyby, při šíření infekce dochází ke vzniku poškozených případně virus obsahujících ale neinfekčních souborů.
Remover:
Rmvirut (zkontroluje a vyléčí všechny dostupné disky)
Rmvirut C: (zkontroluje a vyléčí celý disk C)
Rmvirut C: D: (zkontroluje a vyléčí disky C a D)
Rmvirut C:\Windows (zkontroluje a vyléčí soubory v adresáři C:\Windows)
Rmvirut C:\Windows\explorer.exe (zkontroluje a vyléčí uvedený soubor)
Vlastnosti removeru:
- Pokud je nainstalováno AVG, removery korektně zaregistrují svůj process v rezidentním štítu, takže AVG nebude rušit léčení
- Pokud je během léčení nalezen zamknutý soubor (tj. nejde otevřít), remover naplánuje spuštění těsně po bootu počítače tak, aby OS nerušil léčení souborů. Platí pro obě rodiny Windows (9x i NT).
- K removeru patří soubory RMVIRUS.DOS (pro léčení před bootem Windows 98 a Windows ME) a Rmvirus32.nt (pro léčení před bootem Windows 2000 a Windows XP).
- Removery vyžadují práva administrátora, toto je testováno při spuštění removeru.
- Vzhledem k tomu že Virut produkuje poškozeniny, budou existovat soubory které budou po léčení nefunkční (staly se nefunkčními nekorektním zápisem viru v okamžiku infikování), a dokonce soubory které nebudou detekovány, protože je v nich kód viru zapsán špatně.