A Virut malware működése és eltávolítása

A Virut (W32.Virut) egy 2006-óta működő malware botnet, az egyik legelterjedtebb fertőzésterjesztő az interneten. A kártevő a Microsoft Windows operációs rendszerek sebezhetőségeit használja ki.

A Virut elsősorban futtatható állományokat fertőz (.EXE, .SCR) , de létezik olyan variánsa, amely ASP, HTML vagy PHP fájlokat károsít. A férgek működéséhez hasonlóan sokszorosítja magát helyi, hálózati vagy eltávolítható meghajtókra. Előfordulhat, hogy egy backdoort nyit a fertőzött gépen.

Működés

A W32.Virut egy entry point obscuring (EPO) fertőzés (megpróbálja elrejteni a belépési pontot, hogy elkerülje a felfedezését). A vírus a futtatható állományokat úgy fertőzi meg, hogy a rendszer API-jai közötti kommunikációt megszakítja és saját kódot ültet az üzenetre. A folyamat során a fájlok károsodhatnak, és emiatt helytelenül futnak le. Egyes variánsai képesek ASP, HTML és PHP fájlokat megfertőzni.

A vírus egy rosszindulatú HTML IFRAME tag-et illeszt a fájlokba, így amikor ezeket az oldalakat egy sebezhető böngésző megjeleníti, a vírus egy másolata töltődik le, majd lefut. A férgekhez hasonlóan helyi és eltávolítható vagy hálózati meghajtókra sokszorosítja magát. Egy ‘autorun.inf’ fájlt másol ezekre a meghajtókra így a vírus futtatásra kerül, amennyiben a meghajtón engedélyezett az AutoPlay funkció.A fertőzés terjedhet fájlmegosztással is. 

 A W32.Virut  egy backdoor-t nyit a fertőzött gépen, ez távoli elérést nyújt a rosszindulatú támadóknak, akik az áldozatokat egyedileg vagy csoportosan is célba vehetik. A backdoor IRC (Internet Relay Chat) csatornákon folytatja a titkosított kommunikációt. További fájlok letöltése válik lehetővé, így a fenyegetés folyamatos és a fertőzés nehezebben lokalizálható.

A Virut új bejegyzéseket hozhat létre a Windows Registry-ben:

•  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\”UpdateHost” = „[BINARY DATA]” (az IRC server IP és portszámának tárolására hozza létre)
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List\”%SystemDrive%\[VIRUS_ELERESI_UTVONALA]\[VIRUS_FAJL_NEVE]” = „%SystemDrive%\[VIRUS_ELERESI_UTVONALA]\[VIRUS_FAJL_NEVE]:*:enabled:@shell32.dll,-1”

Eltávolítás

Norton Power Eraser

• Norton Power Eraser Tool letöltése és futtatása (A program agresszív technikákat alkalmaz így érdemes átnézni a törlésre kiválasztott programok listáját nehogy egy tiszta programot távolítson el.) (magyar nyelvű leírás)
• Ha még mindig fennáll a probléma a rendszer helyreállítható a https://security.symantec.com/nbrt/nbrt.aspx?lcid=1033 Norton Bootable Recovery Tool-al

Microsoft Windows helyreállítás:

Ha a Windows rendszerfájljaiban van jelen a fertőzés, a fájlok visszaállíthatók az eredeti állapotukba a Windows telepítő CD-jéről

1. Tegye be a Windows telepítő CD-t
2. Indítsa újra a számítógépet (Ha tudja, hogy a számítógép CD-ről bootol a következő 3, 4, 5, 6 lépéseket kihagytatja)
3. A számítógép indulásakor figyelje a BIOS indításhoz szükséges gombot (általában ”’F1”’, ”’F2”’, ”’F10”’, ”’Delete”’)
4. A BIOS képernyőjén lépjen be a ”’Boot Menu”’-be
5. Állítsa be a boot-sorrendet (Boot Order/ Boot Sequence) úgy, hogy a CD/DVD-meghajtó legyen a lista élén
6. Mentse a beállításokat és lépjen ki a BIOS-ból (általában ”’F10”’)
7. Ha elindult a rendszer a CD/DVD-meghajtóról válasszon nyelvet
8. Navigáljon a Rendszer Helyreállítása\Indítási javítás menübe (A megfelelő operációs rendszert kiválasztva.)
9. Kövesse a varázsló utasításait
10. A rendszer újraindítása után visszaállíthatja a boot-sorrendet, hogy a Windows a merevlemezről induljon

Megelőzés

A Virut köztudott csatlakozási pontjai (ajánlott a tűzfal vagy router beállításaiban tiltani ezeket a címeket):

• core.ircgalaxy.pl (172.24.8.111)
• irc.zief.pl
• proxim.ircgalaxy.pl
• ru.brans.pl (218.93.205.30)

Egyéb lehetőségek:

Többrétegű védelem felépítése és ezek karbantartása

• Aktív Network Threat Protection (NTP)
• Intrusion Prevention System (IPS)
• Tűzfal
• Antivírus
• Insight
• SONAR

Támadási felület csökkentése

• Alkalmazások futtatásának korlátozása
• Csatlakoztatható eszközök korlátozása

További lehetőségek

• Böngészők bővítményeinek patchelése(frissítése).
• P2P használatának blokkolása.
• AutoPlay kikapcsolása (a Virut, Conficker/Downup fertőzések USB és hálózati meghajtókat fertőzve ‘autorun.inf’ állományt elhelyezve automatikusan futnak).
• Operációs rendszer frissítéseinek telepítése (sérülékenységek javítása).
• Erős jelszavak használata (időközönkénti megváltoztatása).
• Felhasználói jogok korlátozása.
• Fájlmegosztás kikapcsolása (ha nem feltétlenül szükséges).
• Email server beállítása, amely kiszűri a feltételezhetően káros csatolmányokat (.bat, .exe, .scr, .pif, .vbs kiterjesztésű fájlok).
• Bluetooth kikapcsolása (Ha szükséges a munkavégzéshez, akkor a készülékek beállítása ‘Hidden’ módba (rejtett), hogy más eszközök ne tudják azonosítani. Ha  eszközöket kell csatlakoztatni egymáshoz, akkor is ‘Unauthorized’ módban, hogy minden kapcsolat jogosultsághoz és megerősítéshez kötött.)
• Biztonsági mentések készítése.

Linkek

• http://www.symantec.com/security_response/writeup.jsp?docid=2007-041117-2623-99
• https://www.f-secure.com/v-descs/virus_w32_virut.shtml
• https://support.norton.com/sp/hu/hu/home/current/solutions/v69675421_EndUserProfile_hu_hu?OpenDocument&src=smr2011
• http://security.symantec.com/nbrt/npe.asp?lcid=1033

Címkék

Virut káros szoftver malware