Virut僵尸网络

Virut僵尸网络

1、病毒简介

Virut感染性病毒，是通过感染全盘可执行文件、HTML文档来达到破坏计算机系统的目的。一般是将恶意代码注入到其它进程中运行的，可以是系统进程或者其它应用进程，注入比较多的进程是系统进程winlogon.exe。感染主机的绝大多数进程都被挂了类型为inline的进程钩子，持续关注关键系统调用，截取或篡改系统信息

2、病毒危害

Virut的目的在于长期利用受害者主机，窃取用户重要信息，下载并给用户安装不必要的流氓或恶意软件，以赚取软件安装费用，也可做为DDoS终端、发垃圾或钓鱼邮件、成为跳板做欺诈等违法行为。实际上，感染Virut已经意味着主机处于重度高风险之中

3、终端验证

1、感染文件众多

Virut变种很多，但都有个共同点，即全盘的可执行文件、HTML基本难以幸免于难，通通被感染，成为潜在的Virut病毒。我们打开一个HTML文档，可以发现该文档尾部被追加了一个C&C站点地址。

2、网络流量

Virut病毒的远程控制站点通常为ntkrnlp.info、irc.zief.pl，如下图，是感染主机抓到的DNS流量，它指向了以上两个地址。

Virut病毒与远控服务器的通信可能是通过IRC进行的，如图，抓到的IRC通信流量，此流量显示感染主机正要加入某个IRC频道。(注：IRC协议是一种古老的聊天协议，当今互联网很多恶意程序和C&C服务器通信的时候，使用的是IRC协议)

威胁情报显示，irc.zief.pl、ntkrnlpa.info 是常见的恶意站点地址，截图如下：

4、查杀处理

1、使用EDR在感染病毒的电脑上进行全盘扫描查杀，查杀结束后重启计算机，并检查重启后是否有其他新的文件或进程生成。

2、使用专杀工具

Virut是感染型的顽固病毒，建议使用专杀工具进行查杀，这里推荐下卡巴斯基的Virut专杀工具。最后，由于Virut的高恶意，高传染性，仍然建议再配合使用杀毒软件进行一次全盘查杀。常见的杀毒软件很多，这里推荐下火绒的：http://www.huorong.cn/ 

注：使用其它常见杀毒软件也可，问题不大，建议多使用几个。

3、更为谨慎的处理

Virut病毒的变种是非常多的，黑客与时俱进，不断的加强和完善该病毒的各项能力。是否还有些不为人知的特殊技能，轻松躲过专杀工具，还不得而知。

而且Virut病毒感染的文件非常多，杀毒工具或专杀工具能否彻底查杀并修复干净，仍有一定的可能性。如果对主机的安全风险有更高的要求，建议只把文档文件复制出来（不包括html文件，所有的二进制文件也抛弃不要），然后重装系统，这样要来得更安全些。