Win32/Virut se vrací
Petr Kuhn, 13.2.2009 15:28 | Přečtěno: 827x | Rubrika: Novinky | Kategorie: Škodlivý softwareV uplynulém týdnu se IT svět opět střetává s polymorfickým „file-infectorem“ Win32/Virut. V porovnání s předchozími variantami tohoto viru, který dosáhl poměrně vysokého počtu infekcí, tento používá výrazně vylepšené polymorfické metody.
„Myslím, že aktuální vlna obsahuje jen mírně se odlišující varianty. Autor zřejmě testuje nový kód“ píše Pavel Krčma v blogu VirusLabu AVG .
„Virut infikuje velmi rychle všechny spustitelné soubory v počítači a sdílených objektech. Pro infekci používá EPO (Entry-point obscuring – pozn.red.) techniky, soubory je tak velmi těžké vyléčit. Při každém startu vloží svůj kód do procesu winlogon, který pak používá pro připojení k internetu. Slouží tak jako IRC backdoor, který umožňuje stáhnout a spustit libovolný soubor, což autorovi umožňuje vzdálené ovládání počítače. Virut se připojuje na IRC server irc.zief.pl a přidává novou výjimku na odchozí spojení pro proces winlogon ve windows firewall. Také upravuje soubory HOSTS a vyhledává HTML soubory na disku, do kterých pak přidává IFRAME směřující na adresu zief.pl/ro kde se nachází skript stahující do počítače malware“ píše se dále na blogu.
Samotné AVG 8.0 se dočkalo již 2 programových aktualizací, které upravovaly detekci tohoto viru.
Podělte se s ostaními:
Podobné články:
Komentáře
bruno
14.2.2009 00:33
Dúfam, že sa tým nezačne návrat vírusov. S virutom som mal tú česť. Dal sa odstrániť jedine offline cez boot cd (sophos av).
