image

Polymorfisch Virut virus omzeilt Windows firewall

donderdag 12 februari 2009, 16:07 door Redactie, 15 reacties

Verschillende anti-virusbedrijven waarschuwen voor een nieuwe variant van het polymorfische Virut virus dat bestanden infecteert en de Windows firewall omzeilt. Virut gebruikt verschillende technieken om slachtoffers te infecteren en is via meerdere lagen encryptie beschermd. Zo besmet de malware EXE en SCR bestanden en opent het een backdoor naar een IRC server. Verder infecteert Virut ook scriptbestanden, zoals PHP, ASP en HTML, waar het een kwaadaardig Iframe in verstopt. Zodra het slachtoffer die bestanden op het web zet, probeert het via verschillende exploits bezoekers te besmetten.

Naast het installeren van aanvullende malware heeft het virus ook de vervelende bijwerking dat het infecteren van bestanden verkeerd gaat, waardoor die onherstelbaar beschadigd raken. Als laatste wordt ook het HOSTS bestand gewijzigd. Infecties zijn herkenbaar aan netwerkverkeer op TCP poort 65520 met een verbinding naar de IRC server proxima.ircgalaxy.pl. Ook de toegenomen omvang van besmette bestanden, die niet meer werken en waarvan de laatst aangepaste datum is gewijzigd, zijn tekenen dat er iets mis is.

Reacties (15)
12-02-2009, 16:12 door Anoniem
Enig idee hoe het de windows firewall omzeilt? Of werkt dat alleen als iemand IRC al doorgelaten heeft?
12-02-2009, 17:10 door Eerde
Dagelijkse M$ humor :)
12-02-2009, 17:11 door miekiemoes
Ook interessant leesvoer ivm de laatste Virut variant door Nicolas Brulez:
http://securitylabs.websense.com/content/Blogs/3300.aspx
12-02-2009, 17:25 door Anoniem
"Vorige: Microsoft: Anoniem zoeken kan alleen bij ons"

"Volgende: Microsoft: Nieuw: dergelijke virussen kunnen ook alleen bij ons..." ;-)
12-02-2009, 17:49 door Paultje
Volgens TrendMicro zijn alleen de volgende platformen van belang in de besmetting:

Windows 98, ME, NT, 2000, XP, Server 2003

Van Windows Vista, Windows Zeven, en Server 2008 is kennelijk niets bekend of de besmetting treedt daar niet op.
12-02-2009, 18:52 door Ilja. _V V
17:49 door Paultje: Windows 98, ME, NT, 2000
(XP zonder SP's t&m SP1) Zijn systemen die standaard niet uitgerust zijn met een firewall.
Vandaag,16:12 door Anoniem: Enig idee hoe het de windows firewall omzeilt?
Goeie vraag, ga ik uitzoeken... Uit de tweede alinea in het artikel kan je trouwens al een heleboel opmaken. ;-)

Voor 2K is er na registratie de gratis voor persoonlijk gebruik [url=http://www.eeye.com/html/products/blink/download/index.html]eEye Blink[/url] met firewall. Erg streng, zeer degelijk. Ook voor [url=http://support.microsoft.com/kb/322389/nl]XP, anders SP3[/url], beter iets dan niets.
12-02-2009, 19:48 door Anoniem
Door AnoniemEnig idee hoe het de windows firewall omzeilt? Of werkt dat alleen als iemand IRC al doorgelaten heeft?


IE in XP is toch niet geblokkeerd door de firewall. Ik zie het zo: website injecteert de code.Eénmaal geïnjecteerd en onder rechten draaiend van de gebruiker heeft dat spul vrij spel. Dit kan redelijk transparant onder XP want iedereen werkt met admin rechten. Bij Vista is dat anders - tenzij UAC is uitgeschakeld. Alle verkeer in IE7 kan zonder een UAC verwittiging niet eleveren. De titel van dit artikel is niet relevant. Er is geen uitgaande firewall in XP. Belangerijker is dat de die variant WFP uitschakelt wat een goed idee is om system-files permanent te besmetten. Indien ze \windows\system32\dllcache ook besmetten moeten ze die WFP niet eens uitschakelen.
12-02-2009, 19:58 door Anoniem
Volgens mij doet COMODO het ook op 2k. Een zeer uitgebreide en erg goed dicht te timmeren firewall en eveneens gratis.
12-02-2009, 21:26 door Bitwiper
Door AnoniemEnig idee hoe het de windows firewall omzeilt?
Kennelijk is de term "bypasses" hier vertaald met "omzeilen", beide (met name de NL) termen zouden een bug kunnen suggereren - daar is echter geen sprake van.

Volgens deze [url=http://vil.nai.com/vil/content/v_154029.htm]McAfee writeup[/url] is daar echter geen sprake van. Wat het virus doet (nadat een systeem besmet is!) is dat deze in de register-instellingen van de Microsoft Windows firewall (die onder XP alleen inkomend verkeer monitort en by default tegenhoudt) een uitzondering gemaakt wordt voor het Winlogon.exe proces. Het gevolg is dat als Winlogon op een TCP of UDP poort gaat luisteren, van buiten komende connecties naar die poort(en) niet door de firewall zullen worden geblokkeerd. Doordat het virus zichzelf injecteert in het winlogon proces kan het dus zelf ook poorten openzetten.

Opmerkingen:
- Dit is dus geen aanvalsvector, d.w.z. een niet besmette PC kan niet door de Windows firewall te "omzeilen" worden besmet

- Als je een NAT-modem/router hebt heeft het openzetten van poorten op je PC geen zin, de NAT router houdt verbindingen van buiten naar binnen sowieso tegen. Dit heeft natuurlijk geen invloed op het update-proces van het virus, het kan wel updates of aanvullingen downloaden. Ook kan het van binnenuit verbinding zoeken met bijv. IRC servers en zo instructies ophalen.

- Als je een andere firewall gebruikt zul je waarschijnlijk een melding krijgen dat Winlogon.exe op een poort probeert te luisteren. Omdat dit niet verdacht klinkt zullen gebruikers dit mogelijk toestaan.

- Als je als [url=http://www.security.nl/artikel/27053]non-admin[/url] op je PC inlogt kan dit virus waarschijnlijk weinig kwaad (wijzigen van de genoemde register-instellingen en het HOSTS bestand zijn dan in elk geval niet mogelijk).

- Op de PC waarop ik dit tik heb ik bestandssysteem permissies gewijzigd. Gewone gebruikers (ik dus) hebben bijv. zelf geen schrijfrechten in C:\ en C:\Windows\Temp\; in de laatste map zal dit virus extra bestanden proberen te downloaden. Dit zijn typische defense-in-depth maatregelen, ik heb bijv. wel schrijfrechten in D:\ maar door af te wijken van de gemiddelde gebruiker bouw je een beetje extra veiligheid in. Natuurlijk heb ik wel schrijfrechten in %TEMP% (welke onder XP mapped op C:\Documents and Settings\Bitwiper\Local Settings\Temp\) maar dat is natuurlijk een persoonlijke map.
13-02-2009, 01:00 door Paultje
Alleen geloof ik niet dat in C:\Documents and Settings\Bitwiper\Local Settings\Temp\ ook echt Bitwiper staat, maar goed, dat is maar een detail zou ik zeggen.

Overigens zou het geen gek idee zijn Bitwiper om wat meer van jouw schrijfsels hier te zien, zeker als het om security op systemen e.d. gaat. Ik vind je uitleg over de Firewall wel een hele goeie. Ik vroeg mij al af hoe het kon dat een computervirus in staat was om een Firewall te bypassen. Het is nu tenminste een stuk duidelijker, maar ik kijk er nu van op dat dit virus ook backdoor capabilities heeft.
13-02-2009, 10:03 door Bitwiper
Door PaultjeAlleen geloof ik niet dat in C:\Documents and Settings\Bitwiper\Local Settings\Temp\ ook echt Bitwiper staat, maar goed, dat is maar een detail zou ik zeggen.
Ja, dat is een leugentje...

Overigens zou het geen gek idee zijn Bitwiper om wat meer van jouw schrijfsels hier te zien, zeker als het om security op systemen e.d. gaat.
Dank je wel, dit soort reacties zijn zeer motiverend. De reden dat ik dit doe is dat ik het leuk vind om anderen te helpen, maar vooral dat het je aanzet tot het goed uitzoeken van dingen waar je zelf tegenaan zou kunnen lopen - en dat is zeer leerzaam. Ik wou dat ik wat meer tijd had...

Overigens ben ik niet de enige die dit kan. Ik zie op dit forum veel mensen tijd verspillen met het opschrijven van meningen waarom besturingssysteem 1 beter zou zijn dan besturingsysteem 2, en denken dat ze dit in een paar regels kunnen samenvatten: zinloos in mijn optiek.

Bij deze een oproep aan die mensen: concentreer je eens op een bepaald aspect, Google je suf en schrijf eens een samenvatting (met verschillende inzichten). Daarmee overtuig je veel meer mensen!
10-04-2009, 17:16 door Anoniem
Virut made my day (3 dagen) Ben al drie dagen bezig om het Virut virus te verweideren, het infecteerd all mijn bestanden in de system32 folder, internet toegang is niet meer mogelijk, virus scanner ziet all .exe files als virus, verwijderd deze dan stopt service.exe en einde winxp pro..

Nieuwe schone installatie, format c:.
Install virus scanner, scan p.c. verwijder geinfecteerde bestanden.
verder met installatie van drivers en software.
Virus is weer terug. zelfde verhaal als hier boven en dit al drie dagen...

Tof man...
11-04-2009, 23:08 door Anoniem
Windows Live OneCare heeft uiteindelijk Virut verwijderd van m'n pc. Kostte een aantal dagen met telkens rebooten.
Dit haalt de string <iframe src="http://********.pl/rc/"width=1height=1style="border:0"></iframe> niet uit je HTML en PHP files.
Het deel ************* varieert.
Vervolgens met gratis tool Autoreplace (http://www.trustmeher.net/freeware/prexa/prexa2.htm) een algehele find/replace op alle HTML en PHP files uitgevoerd. Autoreplace kan beveiligde bestanden niet aanpassen, dus als je de find/replace nog een keer uitvoert en hetzelfde file nogmaals ziet, dan moet je het commando attrib -r *.htm* /s uitvoeren.
Na 6 dagen eindelijk virutvrij (hoop ik)...
27-09-2009, 11:48 door Anoniem
Door Paultje: Volgens TrendMicro zijn alleen de volgende platformen van belang in de besmetting:

Windows 98, ME, NT, 2000, XP, Server 2003

Van Windows Vista, Windows Zeven, en Server 2008 is kennelijk niets bekend of de besmetting treedt daar niet op.


Wel ik heb Windows vista home premium en ik ben geïnfecteerd dus ja het komt voor bij vista :S

geraak er niet van af, zal binnenkort herinstalleren

greetz
05-12-2009, 23:46 door Anoniem
dit is echt geen fabel, heb er zelf ook erg veel last van.als iemand een oplossing weet?????
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.