Virut病毒分析与查杀

1 简述

某公司安全实验室

原文地址：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=34009

1.1什么是Virut病毒
      Virut病毒是一种文件感染型木马病毒，受影响系统为微软Windows。Virut可能利用IRC(Internet Relay Chat)与远程攻击者建立连接，最早于2006年在波兰被首次发现。
1.2 有哪些危害
      感染Virut的主机意味着全盘大部分的可执行文件（主要是exe和scr），以及大量的HTML文档，都会被恶意修改，以追加恶意代码。所以，受感染主机本地的任何一个软件应用，一打开极可能触发Virut运行起来。
      Virut的目的在于长期利用受害者主机，窃取用户重要信息，下载并给用户安装不必要的流氓或恶意软件，以赚取软件安装费用，也可做为DDoS终端、发垃圾或钓鱼邮件、成为跳板做欺诈等违法行为。
      实际上，感染Virut已经意味着主机处于重度高风险之中，最好及时进行全盘的清理以减少损失。


2 中毒症状
2.1 感染文件众多
      Virut变种很多，但都有个共同点，即全盘的可执行文件、HTML基本幸免于难，通通被感染，成为潜在的Virut病毒。
可执行文件的感染主要是追加可执行代码，并在关键跳转位置修改EP值，以达到跳转到恶意代码流程的目的。
下图是某个可执行文件被感染前的EP：

      下图是该可执行文件被感染后的EP：

      可以发现EP地址被修改了，被修改后的EP指向了恶意代码处。

      全盘搜索下所有HTML文档，随意打开其中一个，可以发现该文档尾部被追加了一个C&C站点地址。

2.2 病毒进程

      Virut病毒一般是将恶意代码注入到其它进程中运行的，可以是系统进程或者其它应用进程，注入比较多的进程是系统进程winlogon.exe。

      下图展示的是Virut的某个变种，可以看到使用特殊工具将winlogon.exe的进程模块一一Dump出来之后，会有以下未命名的模块代码，经检查是Virut功能代码，即Virut病毒的功能是由winlogon.exe等进程去执行的。

      我们尝试使用Notepad++打开以上dll，发现有http://zief.pl/rc，这个与HTML文档感染值一致。

      另外，如下，可以看到此Virut变种是有在使用IRC进行通信的，红色框框表明正在加入某个IRC频道。

      使用PC Hunter可以发现，如下图，感染主机的绝大多数进程都被挂了进程钩子，钩子类型是inline，这表明Virut在持续关注关键系统调用，以截取或篡改系统信息。

      Virut病毒也可能修改HOSTS文件值，如下是其在头部增加的一行记录：

2.3 网络行为

      Virut病毒的远程控制站点通常为ntkrnlp.info、irc.zief.pl，如下图，是感染主机抓到的DNS流量，它指向了以上两个地址。

      Virut病毒与远控服务器的通信可能是通过IRC进行的，如图，抓到的IRC通信流量。

此流量显示感染主机正要加入某个IRC频道。

      威胁情报显示，irc.zief.pl、ntkrnlpa.info 是常见的恶意站点地址，截图如下

3 如何查杀

3.1 使用专杀工具

      Virut是感染型的顽固病毒，建议使用专杀工具进行查杀，这里推荐下卡巴斯基的Virut专杀工具：

      卡巴斯基Virut专杀工具

      最后，由于Virut的高恶意，高传染性，仍然建议再配合使用杀毒软件进行一次全盘查杀。

      常见的杀毒软件很多，这里推荐下火绒的：

      http://www.huorong.cn/

      注：使用其它常见杀毒软件也可，问题不大。

3.2 更为谨慎的处理

      Virut病毒的变种是非常多的，黑客与时俱进，不断的加强和完善该病毒的各项能力。是否还有些不为人知的特殊技能，轻松躲过专杀工具，还不得而知。

      而且Virut病毒感染的文件非常多，杀毒工具或专杀工具能否彻底查杀并修复干净，仍有一定的可能性。如果对主机的安全风险有更高的要求，建议只把文档文件复制出来（不包括html文件，所有的二进制文件也抛弃不要），然后重装系统，这样要来得更安全些。

假期准备考试~来查询资料学习了！