Geschreven door Ondanks de huidige infectie-trend om op de achtergrond gegevens te stelen zoals inlogcodes, FTP gegevens, WOW accounts en dergelijke zijn er nog steeds virussen die voornamelijk uit zijn op schade en vernietiging. Virut (W32/Virut.n) is hier zo’n voorbeeld van, dit polymorfische virus is ontdekt op 2 maart 2003 en is ‘gratis af te halen’ bij het gebruiken van cracks en andere illegale downloads. Na besmetting met Virut infecteerd deze alle EXE en SCR bestanden en opent het een backdoor naar een IRC server (TCP poort 65520 naar IRC servers proxima.ircgalaxy.pl & irc.zief.pl). Verder infecteerd Virut script bestanden zoals PHP, ASP en HTML, waar het een kwaadaardig Iframe in verstopt. Zodra het slachtoffer deze scriptbestanden upload naar een webserver probeert Virut via verschillende exploits ook de bezoekers te infecteren.
Virut infecteerd als eerste het Winlogon.exe proces, zodra dat gelukt is wordt het bestand %WINDOWS%\TEMP\VRT7.tmp gedownload, daarna wordt er een nieuw svchost.exe proces opgestart waarmee in de map %WINDOWS\System32 de bestanden 8.tmp (data file) en 9.tmp worden gecreëerd. Het vorige bestand %WINDOWS%\TEMP\VRT7.tmp wordt daarna weer verwijderd. Het bestand 9.tmp wordt uitgevoerd en er wordt meer Malware binnengehaald. De string 127.0.0.1 ZieF.pl wordt aan het HOSTS bestand toegevoegd. Enkele lopende processen worden geïnjecteerd met kwaadaardige code en de functies NtCreateFile, NtCreateProcess, NtCreateProcessEx, NtOpenFile en NtQueryInformationProcess uit ntdll.dll worden gekoppeld aan Virut zelf. Met behulp van de registersleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List verkrijgd het kwaadaardige Winlogon.exe proces doorgang van de firewall. Via enkele IRC kanalen ontvangt Virut opdrachten. Verzamelde e-mail adressen worden doorgestuurd naar IP 69.46.16.191.
‘Grappige’ is dat het infecteren van de verschillende bestanden op een foute manier plaatsvind waardoor herstel zo goed als onmogelijk wordt gemaakt. Buiten dat haalt Virut aanvullende Malware binnen en wordt het HOSTS bestand gewijzigd. Door deze aanpassing in het HOSTS bestand en de HTML infectie is Virut in staat om nieuwe ‘schone’ machines te infecteren en tegelijkertijd de verbinding met de kwaadaardige IRC servers te beperken om waarschijnlijk de Virut server een ‘overload’ te besparen.
Volledig herstel van een infectie is niet onmogelijk, maar behoorlijk omslachtig omdat er zoveel bestanden zijn geïnfecteerd en tevens beschadigd. Gezien de moeite en inzet die een volledig herstel met zich meebrengt lijk een schone her-installatie de simpelste methode. Gelet op het feit dat er ná de infectie geen EXE, SCR, PHP, ASP en HTML bestanden van de pc worden gehaald als ‘backup’! Ook gemaakte back-ups (soms op aangekoppelde externe schijven) dienen grondig te worden nagekeken.
Hiermee wordt nogmaals het bewijs geleverd dat het hebben van een recente, schone en externe backup z’n voordeel opleverd..
