Virut病毒分析与查杀
  

SSEC 发表于 2017-7-19 11:25

本帖最后由 SSEC 于 2017-7-19 11:30 编辑

1 简述
深信服安全实验室

1.1什么是Virut病毒
      Virut病毒是一种文件感染型木马病毒,受影响系统为微软Windows。Virut可能利用IRC(Internet Relay Chat)与远程攻击者建立连接,最早于2006年在波兰被首次发现。
1.2 有哪些危害
      感染Virut的主机意味着全盘大部分的可执行文件(主要是exe和scr),以及大量的HTML文档,都会被恶意修改,以追加恶意代码。所以,受感染主机本地的任何一个软件应用,一打开极可能触发Virut运行起来。
      Virut的目的在于长期利用受害者主机,窃取用户重要信息,下载并给用户安装不必要的流氓或恶意软件,以赚取软件安装费用,也可做为DDoS终端、发垃圾或钓鱼邮件、成为跳板做欺诈等违法行为。
      实际上,感染Virut已经意味着主机处于重度高风险之中,最好及时进行全盘的清理以减少损失。


2 中毒症状
2.1 感染文件众多
      Virut变种很多,但都有个共同点,即全盘的可执行文件、HTML基本幸免于难,通通被感染,成为潜在的Virut病毒。
可执行文件的感染主要是追加可执行代码,并在关键跳转位置修改EP值,以达到跳转到恶意代码流程的目的。
下图是某个可执行文件被感染前的EP:
26688596ecd5430936.png

      下图是该可执行文件被感染后的EP:
15074596ecd6894511.png

      可以发现EP地址被修改了,被修改后的EP指向了恶意代码处。

      全盘搜索下所有HTML文档,随意打开其中一个,可以发现该文档尾部被追加了一个C&C站点地址。
63137596ecd9fd2700.png


2.2 病毒进程
      Virut病毒一般是将恶意代码注入到其它进程中运行的,可以是系统进程或者其它应用进程,注入比较多的进程是系统进程winlogon.exe。
      下图展示的是Virut的某个变种,可以看到使用特殊工具将winlogon.exe的进程模块一一Dump出来之后,会有以下未命名的模块代码,经检查是Virut功能代码,即Virut病毒的功能是由winlogon.exe等进程去执行的。
38771596ecdd289843.png


      我们尝试使用Notepad++打开以上dll,发现有http://zief.pl/rc,这个与HTML文档感染值一致。

50042596ecdf661b94.png

      另外,如下,可以看到此Virut变种是有在使用IRC进行通信的,红色框框表明正在加入某个IRC频道。
65584596ece154cd7b.png


      使用PC Hunter可以发现,如下图,感染主机的绝大多数进程都被挂了进程钩子,钩子类型是inline,这表明Virut在持续关注关键系统调用,以截取或篡改系统信息。
59078596ece389a155.png


      Virut病毒也可能修改HOSTS文件值,如下是其在头部增加的一行记录:
57229596ece57b6533.png

2.3 网络行为
      Virut病毒的远程控制站点通常为ntkrnlp.info、irc.zief.pl,如下图,是感染主机抓到的DNS流量,它指向了以上两个地址。
13199596ece7540138.png

      Virut病毒与远控服务器的通信可能是通过IRC进行的,如图,抓到的IRC通信流量。
此流量显示感染主机正要加入某个IRC频道。

2890596ece9530044.png


      威胁情报显示,irc.zief.pl、ntkrnlpa.info 是常见的恶意站点地址,截图如下

87384596ecf2a7fcda.png

96341596ecf3aeff89.png

3 如何查杀
3.1 使用专杀工具
      Virut是感染型的顽固病毒,建议使用专杀工具进行查杀,这里推荐下卡巴斯基的Virut专杀工具:
      卡巴斯基Virut专杀工具
      最后,由于Virut的高恶意,高传染性,仍然建议再配合使用杀毒软件进行一次全盘查杀。
      常见的杀毒软件很多,这里推荐下火绒的:
      http://www.huorong.cn/
      注:使用其它常见杀毒软件也可,问题不大。
3.2 更为谨慎的处理
      Virut病毒的变种是非常多的,黑客与时俱进,不断的加强和完善该病毒的各项能力。是否还有些不为人知的特殊技能,轻松躲过专杀工具,还不得而知。
      而且Virut病毒感染的文件非常多,杀毒工具或专杀工具能否彻底查杀并修复干净,仍有一定的可能性。如果对主机的安全风险有更高的要求,建议只把文档文件复制出来(不包括html文件,所有的二进制文件也抛弃不要),然后重装系统,这样要来得更安全些。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

×
有话想说?点这里!
可评论、可发帖

本版版主

46
11
1

发帖

粉丝

关注

本版热帖

本版达人

新手74761...

本周提问达人