ASEC이 분석한 악성코드, 유해가능 프로그램, 모바일 악성코드 정보
신규↓
시스템 위험도 | 네트워크 위험도 | 확산 위험도 | 위험 등급 |
---|---|---|---|
낮음 | 낮음 | 낮음 | 2단계 대비 |
기본 정보
종류 | 바이러스 | 운영체제 | 윈도우 |
---|---|---|---|
유입경로 | 파일실행 | 공격기법 | 실행파일 |
영향도 | 파일 관련 |
상세 정보
* 전파 경로
Win32/Virut.E, Win32/Virut.F 바이러스는 EPO(Entry-Point Obscuring)기능을 갖는 다형성(Polymorphic) 바이러스이며, 메모리 상주형(Memory Residence) 바이러스이다.
* 실행 후 증상
감염된 파일을 실행하면 윈도우 시스템 프로세스인 Winlogon.exe 에 자신의 코드를 인젝션 해둔다. 인젝션 된 코드는 다음과 같은 IRC 서버에 접속 및 호스트파일을 변조하는 기능을 수행한다.
일반적으로 내부에 접속 시도할 IRC 서버가 2개 존재하며, 1차 시도한 곳이 접속실패 할 경우, 일정 시간동안 Sleep 후, 2차 서버로 접소 시도한다.
- sy**.z**f.*p
- *or**.irc***.p**
* 따라서 인젝션 된 쓰레드를 치료하고 후킹된 함수를 복구하지 않으면 재감염 문제를 발생한다.
* 파일 감염 증상
Virut 바이러스는 아래 확장자를 가지는 스크립트 파일에 대한 감염기능을 갖고있다.
- HTM
- PHP
- ASP
iframe을 삽입하여 사용자가 원하지 않는 행위를 수행하게 된다.
그리고 Virut 바이러스는 로컬 드라이브의 모든 폴더에서 다음과 같은 확장자를 가지는 윈도우 실행 파일을 감염 시킨다.
- .EXE
- .SCR
단, 다음과 같은 문자열이 포함된 폴더 및 실행파일을 감염 대상에서 제외 된다.
- "WINC"
- "WCUN"
- "WC32"
- "PSTO"
- "OTSP"
바이러스는 윈도우 2000 이상부터 존재하는 시스템 파일 보호 기능을 무력화 하여 윈도우 및 그 하위 폴더내에서 대상이 되는 실행파일도 모두 감염 시킨다.
바이러스 감염시 감염된 파일의 모습은 다음 같다.
원본 EP(Entry-Point)값을 변경하여 바이러스 코드가 실행되도록 하는 F형(Non-EPO형),
원본 EP를 변경하지 않고, 내부에 사용하는 정상적인 CALL 명령어를 패치하여 JMP명령어로 변경을 통해 바이러스 코드가 실행되도록 하는 E형 (EPO형)
Virut 바이러스에 감염 시 E형과 F형이 동시에 발견되는 경우도 존재하나 일부에서는 특정 형태(E형,F형) 한 가지만 감염되는 것을 확인할 수 있다. 일반적으로 EPO 기법을 사용한 바이러스는 진단이 매우 어렵다.
Win32/Virut.E, Win32/Virut.F 바이러스는 안랩 전용백신으로 치료가 가능하다.
1. www.ahnlab.com 홈페이지 접속
2. 다운로드 -> 전용백신
3. 65번 Win32/Virut 클릭
증상 및 요약
Win32/Virut.E, Win32/Virut.F 는 윈도우 실행파일을 감염 시키는 바이러스 이다. 이 바이러스는 시작 실행시점 불명확화 기법을 사용하여 실행 파일을 감염 시킨다. 감염대상은 *.exe, *.scr 확장자를 가지는 로컬 드라이브내 파일들이 대상이 된다. 감염된 파일을 실행하면 winlogon.exe 에 자신을 인젝션하고 특정 IRC 서버에 접속한다. 접속한 후 명령을 받으면 다른 악성코드를 다운로드 및 실행한다. 또한 Win32/Virut.E, Win32/Virut.F 는 감염을 위해서 특정 커널 함수를 후킹하여 읽기, 실행, 수정등의 파일 입출력 작업이 발생 할 때 이를 가로채서 자신을 감염 시킨다. 이 바이러스의 완벽한 치료를 위해서는 메모리 치료가 선행 되어야 한다.