악성코드 정보

ASEC이 분석한 악성코드, 유해가능 프로그램, 모바일 악성코드 정보

악성코드 Win32/Virut.E.F

  • 최초 입력시간2017-09-22 18:29 (GMT+9)
  • 최종 수정시간2017-09-26 09:42 (GMT+9)

신규↓

위험도 상세내역
시스템 위험도 네트워크 위험도 확산 위험도 위험 등급
낮음 낮음 낮음 2단계 대비

기본 정보

기본 정보 상세내역
종류 바이러스 운영체제 윈도우
유입경로 파일실행 공격기법 실행파일
영향도 파일 관련
  • 상세 정보

    * 전파 경로 

     

    Win32/Virut.E, Win32/Virut.F 바이러스는 EPO(Entry-Point Obscuring)기능을 갖는 다형성(Polymorphic) 바이러스이며, 메모리 상주형(Memory Residence) 바이러스이다.

     

     * 실행 후 증상

     

     감염된 파일을 실행하면 윈도우 시스템 프로세스인 Winlogon.exe 에 자신의 코드를 인젝션 해둔다. 인젝션 된 코드는 다음과 같은 IRC 서버에 접속 및 호스트파일을 변조하는 기능을 수행한다. 

     

    일반적으로 내부에 접속 시도할 IRC 서버가 2개 존재하며, 1차 시도한 곳이 접속실패 할 경우, 일정 시간동안 Sleep 후, 2차 서버로 접소 시도한다.

     

    - sy**.z**f.*p

    - *or**.irc***.p**

     

    * 따라서 인젝션 된 쓰레드를 치료하고 후킹된 함수를 복구하지 않으면 재감염 문제를 발생한다.

     

     * 파일 감염 증상 

     

    Virut 바이러스는 아래 확장자를 가지는 스크립트 파일에 대한 감염기능을 갖고있다.

    - HTM

    - PHP

    - ASP

    iframe을 삽입하여 사용자가 원하지 않는 행위를 수행하게 된다.

     

    그리고 Virut 바이러스는 로컬 드라이브의 모든 폴더에서 다음과 같은 확장자를 가지는 윈도우 실행 파일을 감염 시킨다.

    - .EXE

    - .SCR 

     

    단, 다음과 같은 문자열이 포함된 폴더 및 실행파일을 감염 대상에서 제외 된다. 

     

    - "WINC"

    - "WCUN"

    - "WC32"

    - "PSTO"

    - "OTSP"

     

    바이러스는 윈도우 2000 이상부터 존재하는 시스템 파일 보호 기능을 무력화 하여 윈도우 및 그 하위 폴더내에서 대상이 되는 실행파일도 모두 감염 시킨다. 

     

    바이러스 감염시 감염된 파일의 모습은 다음 같다. 

    원본 EP(Entry-Point)값을 변경하여 바이러스 코드가 실행되도록 하는 F형(Non-EPO형),

    원본 EP를 변경하지 않고, 내부에 사용하는 정상적인 CALL 명령어를 패치하여 JMP명령어로 변경을 통해 바이러스 코드가 실행되도록 하는 E형 (EPO형)

     

    Virut 바이러스에 감염 시 E형과 F형이 동시에 발견되는 경우도 존재하나 일부에서는 특정 형태(E형,F형) 한 가지만 감염되는 것을 확인할 수 있다. 일반적으로 EPO 기법을 사용한 바이러스는  진단이 매우 어렵다.

     

    Win32/Virut.E, Win32/Virut.F 바이러스는 안랩 전용백신으로 치료가 가능하다.

     

    1. www.ahnlab.com 홈페이지 접속

    2. 다운로드 -> 전용백신

    3. 65번 Win32/Virut 클릭

     

     

  • 증상 및 요약

    Win32/Virut.E, Win32/Virut.F 는 윈도우 실행파일을 감염 시키는 바이러스 이다. 이 바이러스는 시작 실행시점 불명확화 기법을 사용하여 실행 파일을 감염 시킨다. 감염대상은 *.exe, *.scr 확장자를 가지는 로컬 드라이브내 파일들이 대상이 된다. 감염된 파일을 실행하면 winlogon.exe 에 자신을 인젝션하고 특정 IRC 서버에 접속한다. 접속한 후 명령을 받으면 다른 악성코드를 다운로드 및 실행한다. 또한 Win32/Virut.E, Win32/Virut.​F 는 감염을 위해서 특정 커널 함수를 후킹하여 읽기, 실행, 수정등의 파일 입출력 작업이 발생 할 때 이를 가로채서 자신을 감염 시킨다. 이 바이러스의 완벽한 치료를 위해서는 메모리 치료가 선행 되어야 한다.

     

취소 인쇄