Computergenie.nl    

Computergenie.nl
  Registreer!
  Registreer
Homepage
Home
Top 10
Top 10
Forum
Forum
Prijsindex
Prijsindex
Nieuws
Nieuws
Downloads
Downloads
Hulp & Uitleg
Hulp & Uitleg
Uitgebreid zoeken
 
  Zoeken •  Gebruikerslijst  •  Gebruikersgroepen   •  Registreer  •  Profiel  •  Log in om je privé berichten te bekijken  •  Ben je al lid?  Log in! 
Ben je al lid?  Log in!
Kies uw onderwerp:
Computer-Café
Knowledge Base
Hardware
Software
Internet & netwerken
Games
Scripten & programmeren
Digitale fotografie & video
Multimedia
GSM & mobile
Sitecheck & links
Officiële mededelingen
Feedback
ISL Light
Aanbiedingen
Markt-plaats
Hulp & Uitleg

Sponsors:

Cloud VPS

Relaties:

PC Beveiliger
Forum » Knowledge Base » Polymorfisch “Virut” virus doet neigen naar Format C:\
Polymorfisch “Virut” virus doet neigen naar Format C:\

Nieuw onderwerpNieuw antwoord
PC_Beveiliger Bericht Geplaatst op 28-09-2009 Reageer met quote
Gevorderd lid
Ondanks de huidige infectie-trend om op de achtergrond gegevens te stelen zoals inlogcodes, FTP gegevens, WOW accounts en dergelijke zijn er nog steeds virussen die voornamelijk uit zijn op schade en vernietiging. Virut (W32/Virut.n) is hier zo’n voorbeeld van, dit polymorfische virus is ontdekt op 2 maart 2003 en is ‘gratis af te halen’ bij het gebruiken van cracks en andere illegale downloads. Na besmetting met Virut infecteerd deze alle EXE en SCR bestanden en opent het een backdoor naar een IRC server (TCP poort 65520 naar IRC servers proxima.ircgalaxy.pl & irc.zief.pl). Verder infecteerd Virut script bestanden zoals PHP, ASP en HTML, waar het een kwaadaardig Iframe in verstopt. Zodra het slachtoffer deze scriptbestanden upload naar een webserver probeert Virut via verschillende exploits ook de bezoekers te infecteren.

Virut infecteerd als eerste het Winlogon.exe proces, zodra dat gelukt is wordt het bestand %WINDOWS%\TEMP\VRT7.tmp gedownload, daarna wordt er een nieuw svchost.exe proces opgestart waarmee in de map %WINDOWS\System32 de bestanden 8.tmp (data file) en 9.tmp worden gecreëerd. Het vorige bestand %WINDOWS%\TEMP\VRT7.tmp wordt daarna weer verwijderd. Het bestand 9.tmp wordt uitgevoerd en er wordt meer Malware binnengehaald. De string 127.0.0.1 ZieF.pl wordt aan het HOSTS bestand toegevoegd. Enkele lopende processen worden geïnjecteerd met kwaadaardige code en de functies NtCreateFile, NtCreateProcess, NtCreateProcessEx, NtOpenFile en NtQueryInformationProcess uit ntdll.dll worden gekoppeld aan Virut zelf. Met behulp van de registersleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List verkrijgd het kwaadaardige Winlogon.exe proces doorgang van de firewall. Via enkele IRC kanalen ontvangt Virut opdrachten. Verzamelde e-mail adressen worden doorgestuurd naar IP 69.46.16.191.

‘Grappige’ is dat het infecteren van de verschillende bestanden op een foute manier plaatsvind waardoor herstel zo goed als onmogelijk wordt gemaakt. Buiten dat haalt Virut aanvullende Malware binnen en wordt het HOSTS bestand gewijzigd. Door deze aanpassing in het HOSTS bestand en de HTML infectie is Virut in staat om nieuwe ’schone’ machines te infecteren en tegelijkertijd de verbinding met de kwaadaardige IRC servers te beperken om waarschijnlijk de Virut server een ‘overload’ te besparen.

Volledig herstel van een infectie is niet onmogelijk, maar behoorlijk omslachtig omdat er zoveel bestanden zijn geïnfecteerd en tevens beschadigd. Gezien de moeite en inzet die een volledig herstel met zich meebrengt lijk een schone her-installatie de simpelste methode. Gelet op het feit dat er ná de infectie geen EXE, SCR, PHP, ASP en HTML bestanden van de pc worden gehaald als ‘backup’! Ook gemaakte back-ups (soms op aangekoppelde externe schijven) dienen grondig te worden nagekeken.

Hiermee wordt nogmaals het bewijs geleverd dat het hebben van een recente, schone en externe backup z’n voordeel oplevert..

BRON: http://www.blog.pcbeveiligen.nl/




Image
Nieuw onderwerpNieuw antwoord   


Forum » Knowledge Base » Polymorfisch “Virut” virus doet neigen naar Format C:\

Powered by Cloud VPS - High Availability Cloud Servers