A Virut malware működése és eltávolítása

A Virut (W32.Virut) egy 2006-óta működő malware botnet, az egyik legelterjedtebb fertőzésterjesztő az interneten. A kártevő a Microsoft Windows operációs rendszerek sebezhetőségeit használja ki.

A Virut elsősorban futtatható állományokat fertőz (.EXE, .SCR) , de létezik olyan variánsa, amely ASP, HTML vagy PHP fájlokat károsít. A férgek működéséhez hasonlóan sokszorosítja magát helyi, hálózati vagy eltávolítható meghajtókra. Előfordulhat, hogy egy backdoort nyit a fertőzött gépen.

Működés

A W32.Virut egy entry point obscuring (EPO) fertőzés (megpróbálja elrejteni a belépési pontot, hogy elkerülje a felfedezését). A vírus a futtatható állományokat úgy fertőzi meg, hogy a rendszer API-jai közötti kommunikációt megszakítja és saját kódot ültet az üzenetre. A folyamat során a fájlok károsodhatnak, és emiatt helytelenül futnak le. Egyes variánsai képesek ASP, HTML és PHP fájlokat megfertőzni.

A vírus egy rosszindulatú HTML IFRAME tag-et illeszt a fájlokba, így amikor ezeket az oldalakat egy sebezhető böngésző megjeleníti, a vírus egy másolata töltődik le, majd lefut. A férgekhez hasonlóan helyi és eltávolítható vagy hálózati meghajtókra sokszorosítja magát. Egy ‘autorun.inf’ fájlt másol ezekre a meghajtókra így a vírus futtatásra kerül, amennyiben a meghajtón engedélyezett az AutoPlay funkció.A fertőzés terjedhet fájlmegosztással is. 

 A W32.Virut  egy backdoor-t nyit a fertőzött gépen, ez távoli elérést nyújt a rosszindulatú támadóknak, akik az áldozatokat egyedileg vagy csoportosan is célba vehetik. A backdoor IRC (Internet Relay Chat) csatornákon folytatja a titkosított kommunikációt. További fájlok letöltése válik lehetővé, így a fenyegetés folyamatos és a fertőzés nehezebben lokalizálható.

A Virut új bejegyzéseket hozhat létre a Windows Registry-ben:

  •  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\”UpdateHost” = “[BINARY DATA]” (az IRC server IP és portszámának tárolására hozza létre)
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List\”%SystemDrive%\[VIRUS_ELERESI_UTVONALA]\[VIRUS_FAJL_NEVE]” = “%SystemDrive%\[VIRUS_ELERESI_UTVONALA]\[VIRUS_FAJL_NEVE]:*:enabled:@shell32.dll,-1”

Eltávolítás

Norton Power Eraser

Microsoft Windows helyreállítás:

Ha a Windows rendszerfájljaiban van jelen a fertőzés, a fájlok visszaállíthatók az eredeti állapotukba a Windows telepítő CD-jéről

  1. Tegye be a Windows telepítő CD-t
  2. Indítsa újra a számítógépet (Ha tudja, hogy a számítógép CD-ről bootol a következő 3, 4, 5, 6 lépéseket kihagytatja)
  3. A számítógép indulásakor figyelje a BIOS indításhoz szükséges gombot (általában ”’F1”’, ”’F2”’, ”’F10”’, ”’Delete”’)
  4. A BIOS képernyőjén lépjen be a ”’Boot Menu”’-be
  5. Állítsa be a boot-sorrendet (Boot Order/ Boot Sequence) úgy, hogy a CD/DVD-meghajtó legyen a lista élén
  6. Mentse a beállításokat és lépjen ki a BIOS-ból (általában ”’F10”’)
  7. Ha elindult a rendszer a CD/DVD-meghajtóról válasszon nyelvet
  8. Navigáljon a Rendszer Helyreállítása\Indítási javítás menübe (A megfelelő operációs rendszert kiválasztva.)
  9. Kövesse a varázsló utasításait
  10. A rendszer újraindítása után visszaállíthatja a boot-sorrendet, hogy a Windows a merevlemezről induljon

Megelőzés

A Virut köztudott csatlakozási pontjai (ajánlott a tűzfal vagy router beállításaiban tiltani ezeket a címeket):

  • core.ircgalaxy.pl (172.24.8.111)
  • irc.zief.pl
  • proxim.ircgalaxy.pl
  • ru.brans.pl (218.93.205.30)

Egyéb lehetőségek:

Többrétegű védelem felépítése és ezek karbantartása

  • Aktív Network Threat Protection (NTP)
  • Intrusion Prevention System (IPS)
  • Tűzfal
  • Antivírus
  • Insight
  • SONAR

Támadási felület csökkentése

  • Alkalmazások futtatásának korlátozása
  • Csatlakoztatható eszközök korlátozása

További lehetőségek

  • Böngészők bővítményeinek patchelése(frissítése).
  • P2P használatának blokkolása.
  • AutoPlay kikapcsolása (a Virut, Conficker/Downup fertőzések USB és hálózati meghajtókat fertőzve ‘autorun.inf’ állományt elhelyezve automatikusan futnak).
  • Operációs rendszer frissítéseinek telepítése (sérülékenységek javítása).
  • Erős jelszavak használata (időközönkénti megváltoztatása).
  • Felhasználói jogok korlátozása.
  • Fájlmegosztás kikapcsolása (ha nem feltétlenül szükséges).
  • Email server beállítása, amely kiszűri a feltételezhetően káros csatolmányokat (.bat, .exe, .scr, .pif, .vbs kiterjesztésű fájlok).
  • Bluetooth kikapcsolása (Ha szükséges a munkavégzéshez, akkor a készülékek beállítása ‘Hidden’ módba (rejtett), hogy más eszközök ne tudják azonosítani. Ha  eszközöket kell csatlakoztatni egymáshoz, akkor is ‘Unauthorized’ módban, hogy minden kapcsolat jogosultsághoz és megerősítéshez kötött.)
  • Biztonsági mentések készítése.

Linkek

  • http://www.symantec.com/security_response/writeup.jsp?docid=2007-041117-2623-99
  • https://www.f-secure.com/v-descs/virus_w32_virut.shtml
  • https://support.norton.com/sp/hu/hu/home/current/solutions/v69675421_EndUserProfile_hu_hu?OpenDocument&src=smr2011
  • http://security.symantec.com/nbrt/npe.asp?lcid=1033

Legfrissebb sérülékenységek
WinZip Mark-of-the-Web kezelési sérülékenysége – WinZip Mark-of-the-Web kezelési sérülékenysége
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-10224 – Linux ScanDeps sérülékenysége
CVE-2024-11003 – Linux needrestart sérülékenysége
CVE-2024-48992 – Linux needrestart sérülékenysége
CVE-2024-48991 – Linux needrestart sérülékenysége
CVE-2024-48990 – Linux needrestart sérülékenysége
Tovább a sérülékenységekhez »