Skocz do zawartości

Wirusy polimorficzne - rodzaje / objawy / usuwanie


Rekomendowane odpowiedzi

Bugs.png
 
Wirusy polimorficzne

 

Co to są wirusy polimorficzne?

 


Jedne z najtrudniejszych zagrożeń do usunięcia jakie istnieją w sieci. Nie mają swojej określonej sygnatury. Posiadają zdolność modyfikacji własnego kodu i każde kolejne ich kopie wyglądają inaczej. Utrudnia to wykrycie infekcji, ponieważ program antywirusowy szuka konkretnego fragmentu kodu, który wirus polimorficzny potrafił już zmienić. Takie infekcje są wykrywane za pomocą heurystyki. Ich zadaniem jest wszczepianie szkodliwego kodu do plików wykonywalnych takich jak EXE / DLL / SCR. Obecne warianty infekcji niestety potrafią też zainfekować inne rozszerzenia plikowe takie jak np. JPG / PDF / DOC. Temat opisuje poradę dotyczącą objawów, rodzajów infekcji oraz ewentualnej walki z tymi infekcjami bez formatowania dysku twardego. Są to bardzo ciężkie przypadki i tak naprawdę nie zawsze jest możliwe wyleczenie dysku bez jego całkowitego formatowania. Infekcje te przenoszą się często z plików pobranych za pomocą programów P2P, natomiast obecnie najczęsciej dostają się do systemu poprzez media przenośne (pendrive, karty pamięci, dyski USB etc.)

Podstawowe objawy
Popularne rodzaje wirusów polimorficznych
Usuwanie wirusów polimorficznych bez formatowania dysku


Copyright @Landuss fixitpc.pl Powielanie tej pracy zabronione.

 

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Podstawowe objawy

 


punkt2.jpg modyfikacja kodu biblioteki NTDLL.DLL. Tak zmodyfikowana biblioteka dba o ciągłość cyklu zarażania i będzie to widoczne w niektórych logach pod taką postacią:

 

Cytat
detected NTDLL code modification:
ZwOpenFile



punkt2.jpg komunikaty programów zabezpieczających o wykryciu infekcji w plikach .exe:

virusjm6.png


punkt2.jpg ogólne spowolnienie komputera i wykonywanych na nim czynności

punkt2.jpg wzmożony ruch na portach sieciowych

punkt2.jpg pliki wykonywalne zwiększają swoją wagę

punkt2.jpg nieuruchamiające się programy oraz blokada antywirusów i stron producentów

 

Odnośnik do komentarza

Popularne rodzaje wirusów polimorficznych

 


Bugs.png Win32:Virut

(Aliasy: Win32.Virtob / Win32:Vitro / W32.Splendor / Win32.Cheburgen)

W pierwszych wersjach ta infekcja była znana jako wirus VT100. Oprócz standardowych plików wykonywalnych bierze się też za pliki JPG / PDF / DOC. Można ją rozpoznać przede wszystkim z poziomu odczytów rootkit detekcji, która będzie pokazywać hooki NTDLL.DLL (NtCreateFile / NtCreateProcess / NtCreateProcessEx / NtOpenFile):

 

Cytat

.text C:\WINDOWS\system32\winlogon.exe[832] ntdll.dll!NtCreateFile 7C90D682 5 Bytes CALL 7FF927E1
.text C:\WINDOWS\system32\winlogon.exe[832] ntdll.dll!NtCreateProcess 7C90D754 5 Bytes CALL 7FF92835
.text C:\WINDOWS\system32\winlogon.exe[832] ntdll.dll!NtCreateProcessEx 7C90D769 5 Bytes CALL 7FF92842
.text C:\WINDOWS\system32\winlogon.exe[832] ntdll.dll!NtOpenFile 7C90DCFD 5 Bytes CALL 7FF9282E
.text C:\WINDOWS\system32\services.exe[876] ntdll.dll!NtCreateFile 7C90D682 5 Bytes CALL 7FFA27E1
.text C:\WINDOWS\system32\services.exe[876] ntdll.dll!NtCreateProcess 7C90D754 5 Bytes CALL 7FFA2835
.text C:\WINDOWS\system32\services.exe[876] ntdll.dll!NtCreateProcessEx 7C90D769 5 Bytes CALL 7FFA2842
.text C:\WINDOWS\system32\services.exe[876] ntdll.dll!NtOpenFile 7C90DCFD 5 Bytes CALL 7FFA282E
.text C:\WINDOWS\system32\lsass.exe[888] ntdll.dll!NtCreateFile 7C90D682 5 Bytes CALL 7FF927E1
.text C:\WINDOWS\system32\lsass.exe[888] ntdll.dll!NtCreateProcess 7C90D754 5 Bytes CALL 7FF92835
.text C:\WINDOWS\system32\lsass.exe[888] ntdll.dll!NtCreateProcessEx 7C90D769 5 Bytes CALL 7FF92842
.text C:\WINDOWS\system32\lsass.exe[888] ntdll.dll!NtOpenFile 7C90DCFD 5 Bytes CALL 7FF9282E
.text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtCreateFile 7C90D682 5 Bytes CALL 7FFA27E1
.text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtCreateProcess 7C90D754 5 Bytes CALL 7FFA2835
.text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtCreateProcessEx 7C90D769 5 Bytes CALL 7FFA2842
.text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtOpenFile 7C90DCFD 5 Bytes CALL 7FFA282E


Przy tej infekcji mogą występować pośrednie znaki infekcji dodatkowych, które są dociągane z sieci. Ta sytuacja jest uzależniona od wariantu infekcji Virut.


Przydatne narzędzia do usuwania infekcji:

 

 

 


Bugs.png Win32:Sality

(Aliasy: Win32.Sector.12)

Jeden z objawów tego rodzaju infekcji to usługa przeważnie o tej samej nazwie abp470n5 / dac970nt / asc3360pr ale o losowym pliku.

Przykładowy wygląd w logach:

 

Cytat

Service C:\WINDOWS\system32\drivers\plooko.sys [MANUAL] abp470n5

Service C:\WINDOWS\system32\drivers\mehfos.sys [MANUAL] abp470n5

S3 dac970nt;dac970nt;\??\c:\windows\system32\drivers\klllim.sys --> c:\windows\system32\drivers\klllim.sys [?]

DRV - File not found [Kernel | On_Demand | Running] -- -- (asc3360pr)


Występują blokady menedżera zadań + edytora rejestru:
 

Cytat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools=1


Namnażanie losowych plików w katalogu Temp w folderze profilu:
 

Cytat

"C:\DOCUME~1\Mateusz\USTAWI~1\Temp\winavrajg.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\winavrajg.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\Mateusz\USTAWI~1\Temp\cjfau.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\cjfau.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\Mateusz\USTAWI~1\Temp\wincdul.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\wincdul.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\Mateusz\USTAWI~1\Temp\tipnr.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\tipnr.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\Mateusz\USTAWI~1\Temp\winetpw.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\winetpw.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\Mateusz\USTAWI~1\Temp\winjwvmdk.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\winjwvmdk.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\Mateusz\USTAWI~1\Temp\winoisanc.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\winoisanc.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\Mateusz\USTAWI~1\Temp\ppryu.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\ppryu.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\Mateusz\USTAWI~1\Temp\aual.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\aual.exe:*:Enabled:ipsec -- File not found



Przydatne narzędzia do usuwania infekcji:

 

 

 


Bugs.png Win32:Jeefo

(Aliasy: Win32.Hidrag)

Jeefo montuje usługę PowerManager na pliku C:\WINDOWS\svchost.exe (nie mylić z systemowym C:\WINDOWS\system32\svchost.exe)

Wygląd w logu:

 

Cytat

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe

S4 PowerManager;Power Manager;C:\windows\svchost.exe [2001-8-24 36352]



Przydatne narzędzia do usuwania infekcji:

 

 

 


Bugs.png Win32:Mabezat

Znakiem szczególnym tej infekcji jest obecność na dysku poniższych obiektów:

 

Cytat

%SystemDrive%\Documents and Settings\tazebama.dl_
%SystemDrive%\Documents and Settings\hook.dl_
%UserProfile%\Start Menu\Programs\Startup\zPharoh.exe
%SystemDrive%\Documents and Settings\tazebama.dll
%SystemDrive%\Documents and Settings\[uSER NAME]\Application Data\tazebama
%SystemDrive%\Documents and Settings\[uSER NAME]\Application Data\tazebama\tazebama.log
%SystemDrive%\Documents and Settings\[uSER NAME]\Application Data\tazebama\zPharaoh.dat
C:\zPharaoh.exe
C:\autorun.inf



Przydatne narzędzie do usuwania infekcji:

 

 

 


Bugs.png Win32:Tenga

(Aliasy: W32.Licum / W32.Gael / W32.Stanit)

Robak sieciowy infekujący wszystkie pliki wykonywalne .EXE. Wchodzi przez niezamknięty port DCOM 139.
W celu zamknięcia portu należy posłużyć się przydatnym narzędziem Windows Worms Doors Cleaner.

 

Głównym objawem obecności wirusa jest wyskakujący komunikat systemowy o treści:

 

16-bitowy podsystem MS-DOS

dl.exe

NTVDM CPU: napotkano niedozwoloną instrukcję.

CS:06bd IP:0206 OP:63 61 74 69 6f Wybierz przycisk "Zamknij". aby zakończyć działanie aplikacji.


+ obecność charakterystycznych plików na dysku:

dl.exe
cback.exe
gaelicum.exe



Przydatne narzędzia do usuwania infekcji:

 

 

 


Bugs.png Win32:Parite

(Aliasy: W32.Pinfi / W32.Pate)

Po uruchomieniu przez użytkownika zainfekowanej aplikacji wirus aktywizuje się zarażając pamięć explorer.exe, a po tym shell roznosi wirusa na każdy plik wykonywalny na dysku gównie EXE / SCR. Widocznymi efektami działania wirusa jest zwiększenie wielkości plików wykonywalnych, pojawianie się nowych plików w katalogu C:\Windows\Temp oraz występowanie błędów przy uruchamianiu systemu Windows. Skanery antywirusowe mogą go wykryć w plikach wykonywalnych programów.

Przykład:

 

Cytat

The W32/Parite.B Virus was found in file C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\AcroRd32.exe
The W32/Parite.B Virus was found in file C:\Program Files\Ahead\CoverDesigner\CoverDes.exe
The W32/Parite.B Virus was found in file C:\Program Files\Ahead\Nero\nero.exe
The W32/Parite.B Virus was found in file C:\Program Files\Ahead\Nero\NeroCmd.exe
The W32/Parite.B Virus was found in file C:\Program Files\Ahead\Nero\Uninstall\UNNero.exe
The W32/Parite.B Virus was found in file C:\Program Files\Ahead\Nero Wave Editor\WaveEdit.exe
The W32/Parite.B Virus was found in file C:\Program Files\Alwil Software\Avast4\ashAvast.exe
The W32/Parite.B Virus was found in file C:\Program Files\Alwil Software\Avast4\ashBug.exe
The W32/Parite.B Virus was found in file C:\Program Files\Alwil Software\Avast4\ashChest.exe
The W32/Parite.B Virus was found in file C:\Program Files\Alwil Software\Avast4\ashLogV.exe



Przydatne narzedzia do usuwania infekcji:

 

 

 


Bugs.png  Win32:Polipos

(Aliasy: P2P-Worm.Win32.Polip.a / W32/Polip.A)

Oprócz złożonego polimorficznego mechanizmu, wirus posiada również opcję neutralizacji wielu programów antywirusowych, oraz innych zabezpieczeń. Z lekkością rozprzestrzenia się za pośrednictwem sieci P2P, przenika na podłączone maszyny i po aktywacji, niezauważalnie wciela je do ogólnie dostępnej sieci P2P. Po uruchomieniu, wirus wprowadza swój kod do prawie wszystkich aktywnych procesów.


Przydatne narzędzia do usuwania infekcji:

 

Odnośnik do komentarza

Usuwanie wirusów polimorficznych bez formatowania dysku

 


Usuwanie tego typu infekcji bardzo często jest trudne i nie zawsze się udaje. Jeśli mimo wszystko chcemy uniknąć formatowania dysku należy podjąć próby leczenia. W przypadku wykrycia infekcji należy reagować szybko bo jeśli infekcja rozprzestrzeni się znacznie, może być już za późno. Gdy decydujemy się jednak na format to tej operacji musi ulec cały dysk (wszystkie partycje) gdyż infekcji ulegają też pliki wykonywalne partycji niesystemowych.

1.

Usuwanie spod działającego Windows (mało skuteczne) poprzez robienie wielokrotnego skanowania wszystkich partycji np. programem Dr. Web CureIt! oraz specjalnymi narzędziami do danego typu infekcji.



2.
Usuwanie z zewnątrz (skuteczniejsze) poprzez wykonanie na innym, niezainfekowanym komputerze bootowalnej płytki CD AV.

Lista tych płytek jest dostępna na forum:

 

 

 

Cytat

atiptaxx.exe;C:\program files\ati technologies\ati control panel;Win32.Virut.51;Wyleczony.;
iexplore.exe;C:\program files\internet explorer;Win32.Virut.51;Wyleczony.;
qttask.exe;C:\program files\quicktime;Win32.Virut.51;Wyleczony.;
winampa.exeC:\program files\winamp;Win32.Virut.51;Wyleczony.;
regsvr32.exe;C:\windows\system32;Win32.Virut.51;Wyleczony.;
ups.exe;C:\windows\system32;Win32.Virut.51;Wyleczony.;
userinit.exe;C:\windows\system32;Win32.Virut.51;Wyleczony.;
wmiapsrv.exe;C:\windows\system32wbem;Win32.Virut.51;Wyleczony.;
wdfmgr.exe;C:\windows\system32;Win32.Virut.51;Wyleczony.;

dxf2mxwl.exe C:\Ansoft Win32.Sector.12 Wyleczony.
maxwell.exe C:\Ansoft Win32.Sector.12 Wyleczony.
obs2sld.exe C:\Ansoft Win32.Sector.12 Wyleczony.
obs2sm2.exe C:\Ansoft Win32.Sector.12 Wyleczony.
plotdata.exe C:\Ansoft Win32.Sector.12 Wyleczony.
usrmatdb.exe C:\Ansoft Win32.Sector.12 Wyleczony.
ac2d.exe C:\Ansoftm2dsv9 Win32.Sector.12 Wyleczony.
axial2d.exe C:\Ansoftm2dsv9 Win32.Sector.12 Wyleczony.
cn2d.exe C:\Ansoftm2dsv9 Win32.Sector.12 Wyleczony.

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...