A Virut (W32.Virut) egy 2006-óta működő malware botnet, az egyik legelterjedtebb fertőzésterjesztő az interneten. A kártevő a Microsoft Windows operációs rendszerek sebezhetőségeit használja ki.
A Virut elsősorban futtatható állományokat fertőz (.EXE, .SCR) , de létezik olyan variánsa, amely ASP, HTML vagy PHP fájlokat károsít. A férgek működéséhez hasonlóan sokszorosítja magát helyi, hálózati vagy eltávolítható meghajtókra. Előfordulhat, hogy egy backdoort nyit a fertőzött gépen.
Működés
A W32.Virut egy entry point obscuring (EPO) fertőzés (megpróbálja elrejteni a belépési pontot, hogy elkerülje a felfedezését). A vírus a futtatható állományokat úgy fertőzi meg, hogy a rendszer API-jai közötti kommunikációt megszakítja és saját kódot ültet az üzenetre. A folyamat során a fájlok károsodhatnak, és emiatt helytelenül futnak le. Egyes variánsai képesek ASP, HTML és PHP fájlokat megfertőzni.
A vírus egy rosszindulatú HTML IFRAME tag-et illeszt a fájlokba, így amikor ezeket az oldalakat egy sebezhető böngésző megjeleníti, a vírus egy másolata töltődik le, majd lefut. A férgekhez hasonlóan helyi és eltávolítható vagy hálózati meghajtókra sokszorosítja magát. Egy ‘autorun.inf’ fájlt másol ezekre a meghajtókra így a vírus futtatásra kerül, amennyiben a meghajtón engedélyezett az AutoPlay funkció.A fertőzés terjedhet fájlmegosztással is.
A W32.Virut egy backdoor-t nyit a fertőzött gépen, ez távoli elérést nyújt a rosszindulatú támadóknak, akik az áldozatokat egyedileg vagy csoportosan is célba vehetik. A backdoor IRC (Internet Relay Chat) csatornákon folytatja a titkosított kommunikációt. További fájlok letöltése válik lehetővé, így a fenyegetés folyamatos és a fertőzés nehezebben lokalizálható.
A Virut új bejegyzéseket hozhat létre a Windows Registry-ben:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\”UpdateHost” = “[BINARY DATA]” (az IRC server IP és portszámának tárolására hozza létre)
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List\”%SystemDrive%\[VIRUS_ELERESI_UTVONALA]\[VIRUS_FAJL_NEVE]” = “%SystemDrive%\[VIRUS_ELERESI_UTVONALA]\[VIRUS_FAJL_NEVE]:*:enabled:@shell32.dll,-1”
Eltávolítás
Norton Power Eraser
- Norton Power Eraser Tool letöltése és futtatása (A program agresszív technikákat alkalmaz így érdemes átnézni a törlésre kiválasztott programok listáját nehogy egy tiszta programot távolítson el.) (magyar nyelvű leírás)
- Ha még mindig fennáll a probléma a rendszer helyreállítható a https://security.symantec.com/nbrt/nbrt.aspx?lcid=1033 Norton Bootable Recovery Tool-al
Microsoft Windows helyreállítás:
Ha a Windows rendszerfájljaiban van jelen a fertőzés, a fájlok visszaállíthatók az eredeti állapotukba a Windows telepítő CD-jéről
- Tegye be a Windows telepítő CD-t
- Indítsa újra a számítógépet (Ha tudja, hogy a számítógép CD-ről bootol a következő 3, 4, 5, 6 lépéseket kihagytatja)
- A számítógép indulásakor figyelje a BIOS indításhoz szükséges gombot (általában ”’F1”’, ”’F2”’, ”’F10”’, ”’Delete”’)
- A BIOS képernyőjén lépjen be a ”’Boot Menu”’-be
- Állítsa be a boot-sorrendet (Boot Order/ Boot Sequence) úgy, hogy a CD/DVD-meghajtó legyen a lista élén
- Mentse a beállításokat és lépjen ki a BIOS-ból (általában ”’F10”’)
- Ha elindult a rendszer a CD/DVD-meghajtóról válasszon nyelvet
- Navigáljon a Rendszer Helyreállítása\Indítási javítás menübe (A megfelelő operációs rendszert kiválasztva.)
- Kövesse a varázsló utasításait
- A rendszer újraindítása után visszaállíthatja a boot-sorrendet, hogy a Windows a merevlemezről induljon
Megelőzés
A Virut köztudott csatlakozási pontjai (ajánlott a tűzfal vagy router beállításaiban tiltani ezeket a címeket):
- core.ircgalaxy.pl (172.24.8.111)
- irc.zief.pl
- proxim.ircgalaxy.pl
- ru.brans.pl (218.93.205.30)
Egyéb lehetőségek:
Többrétegű védelem felépítése és ezek karbantartása
- Aktív Network Threat Protection (NTP)
- Intrusion Prevention System (IPS)
- Tűzfal
- Antivírus
- Insight
- SONAR
Támadási felület csökkentése
- Alkalmazások futtatásának korlátozása
- Csatlakoztatható eszközök korlátozása
További lehetőségek
- Böngészők bővítményeinek patchelése(frissítése).
- P2P használatának blokkolása.
- AutoPlay kikapcsolása (a Virut, Conficker/Downup fertőzések USB és hálózati meghajtókat fertőzve ‘autorun.inf’ állományt elhelyezve automatikusan futnak).
- Operációs rendszer frissítéseinek telepítése (sérülékenységek javítása).
- Erős jelszavak használata (időközönkénti megváltoztatása).
- Felhasználói jogok korlátozása.
- Fájlmegosztás kikapcsolása (ha nem feltétlenül szükséges).
- Email server beállítása, amely kiszűri a feltételezhetően káros csatolmányokat (.bat, .exe, .scr, .pif, .vbs kiterjesztésű fájlok).
- Bluetooth kikapcsolása (Ha szükséges a munkavégzéshez, akkor a készülékek beállítása ‘Hidden’ módba (rejtett), hogy más eszközök ne tudják azonosítani. Ha eszközöket kell csatlakoztatni egymáshoz, akkor is ‘Unauthorized’ módban, hogy minden kapcsolat jogosultsághoz és megerősítéshez kötött.)
- Biztonsági mentések készítése.
Linkek
- http://www.symantec.com/security_response/writeup.jsp?docid=2007-041117-2623-99
- https://www.f-secure.com/v-descs/virus_w32_virut.shtml
- https://support.norton.com/sp/hu/hu/home/current/solutions/v69675421_EndUserProfile_hu_hu?OpenDocument&src=smr2011
- http://security.symantec.com/nbrt/npe.asp?lcid=1033
