×

Virut病毒分析与查杀
  

SSEC 12976

{{ttag.title}}
本帖最后由 SSEC 于 2017-7-19 11:30 编辑

1 简述
某公司安全实验室

1.1什么是Virut病毒
      Virut病毒是一种文件感染型木马病毒,受影响系统为微软Windows。Virut可能利用IRC(Internet Relay Chat)与远程攻击者建立连接,最早于2006年在波兰被首次发现。
1.2 有哪些危害
      感染Virut的主机意味着全盘大部分的可执行文件(主要是exe和scr),以及大量的HTML文档,都会被恶意修改,以追加恶意代码。所以,受感染主机本地的任何一个软件应用,一打开极可能触发Virut运行起来。
      Virut的目的在于长期利用受害者主机,窃取用户重要信息,下载并给用户安装不必要的流氓或恶意软件,以赚取软件安装费用,也可做为DDoS终端、发垃圾或钓鱼邮件、成为跳板做欺诈等违法行为。
      实际上,感染Virut已经意味着主机处于重度高风险之中,最好及时进行全盘的清理以减少损失。


2 中毒症状
2.1 感染文件众多
      Virut变种很多,但都有个共同点,即全盘的可执行文件、HTML基本幸免于难,通通被感染,成为潜在的Virut病毒。
可执行文件的感染主要是追加可执行代码,并在关键跳转位置修改EP值,以达到跳转到恶意代码流程的目的。
下图是某个可执行文件被感染前的EP:

      下图是该可执行文件被感染后的EP:

      可以发现EP地址被修改了,被修改后的EP指向了恶意代码处。

      全盘搜索下所有HTML文档,随意打开其中一个,可以发现该文档尾部被追加了一个C&C站点地址。



2.2 病毒进程
      Virut病毒一般是将恶意代码注入到其它进程中运行的,可以是系统进程或者其它应用进程,注入比较多的进程是系统进程winlogon.exe。
      下图展示的是Virut的某个变种,可以看到使用特殊工具将winlogon.exe的进程模块一一Dump出来之后,会有以下未命名的模块代码,经检查是Virut功能代码,即Virut病毒的功能是由winlogon.exe等进程去执行的。


      我们尝试使用Notepad++打开以上dll,发现有http://zief.pl/rc,这个与HTML文档感染值一致。


      另外,如下,可以看到此Virut变种是有在使用IRC进行通信的,红色框框表明正在加入某个IRC频道。


      使用PC Hunter可以发现,如下图,感染主机的绝大多数进程都被挂了进程钩子,钩子类型是inline,这表明Virut在持续关注关键系统调用,以截取或篡改系统信息。


      Virut病毒也可能修改HOSTS文件值,如下是其在头部增加的一行记录:

2.3 网络行为
      Virut病毒的远程控制站点通常为ntkrnlp.info、irc.zief.pl,如下图,是感染主机抓到的DNS流量,它指向了以上两个地址。

      Virut病毒与远控服务器的通信可能是通过IRC进行的,如图,抓到的IRC通信流量。
此流量显示感染主机正要加入某个IRC频道。



      威胁情报显示,irc.zief.pl、ntkrnlpa.info 是常见的恶意站点地址,截图如下



3 如何查杀
3.1 使用专杀工具
      Virut是感染型的顽固病毒,建议使用专杀工具进行查杀,这里推荐下卡巴斯基的Virut专杀工具:
      卡巴斯基Virut专杀工具
      最后,由于Virut的高恶意,高传染性,仍然建议再配合使用杀毒软件进行一次全盘查杀。
      常见的杀毒软件很多,这里推荐下火绒的:
      http://www.huorong.cn/
      注:使用其它常见杀毒软件也可,问题不大。
3.2 更为谨慎的处理
      Virut病毒的变种是非常多的,黑客与时俱进,不断的加强和完善该病毒的各项能力。是否还有些不为人知的特殊技能,轻松躲过专杀工具,还不得而知。
      而且Virut病毒感染的文件非常多,杀毒工具或专杀工具能否彻底查杀并修复干净,仍有一定的可能性。如果对主机的安全风险有更高的要求,建议只把文档文件复制出来(不包括html文件,所有的二进制文件也抛弃不要),然后重装系统,这样要来得更安全些。

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

boy 发表于 2021-5-4 15:55
  
假期准备考试~来查询资料学习了!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
新版本体验
GIF动图学习
信服课堂视频
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人