大东话安全之通吃全盘的Virut

编者按：网络空间安全近年来日渐成为公众关注的焦点，中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏，以《安天威胁通缉令2016扑克牌》为线索，一张扑克牌对应一个网络病毒，讲述54个不同的网络病毒和网络安全故事，以及如何进行针对性防御的建议。

一、谶曰

《史记·项羽本纪》：项王军壁垓下，兵少食尽，汉军及诸侯兵围之数重。夜闻汉军四面皆楚歌。

项羽：汉皆已得楚乎？是何楚人之多也！

小白：毒皆已得我本本？是何病毒之多也！

大东：快使用老斯基，哼哼哈嘿~

二、病毒通缉令

小白：一闪一闪亮晶晶~满天都是小眼睛~~

大东：您的好友天真烂漫白已上线。

小白：大东东，今天这张长眼睛病毒的牌是啥呀？

大东：这是 Virut，该家族是一种文件感染型病毒，能够感染受损系统中的.exe和.scr文件。它还能通过连接 IRC 服务器来开启后门，允许远程攻击者在受感染计算机中下载并运行文件。

小白：晕，我假装听懂的样子~

大东：盒盒，别急，听我接着给你讲~

三、通吃全盘的 Virut

小白：大东东~快来救救我的电脑啊~~

大东：这是怎么了？

小白：大东东，我这电脑不知中了啥毒，每次杀毒都显示有1000多个病毒，连系统文件都被感染成病毒了！我已经用最新版的杀软查杀，但杀完重启后竟然不能进系统了！！

大东：哦？杀毒结果怎么说？

小白：瑞星查出来这个病毒名称是 Win32.Virut。我试过重装系统，结果这病毒竟然还在！真是郁闷啊……

大东：嗯，你的电脑确实中了 Virut 病毒了。

小白：这玩意儿是啥啊，把我电脑完全搞坏了！

大东：Virut 病毒是一种文件感染型木马病毒，受影响系统为微软 Windows，于2006年在波兰被首次发现。这类病毒影响范围极大，据腾讯反病毒实验室公布，仅针对该类其中的一种 Ramnit 病毒，电脑管家日拦截该病毒机器数就高达3万台。

小白：日截！一天能有就有这么多受害者！！

感染文件众多

大东：而这个 Virut 变种很多，感染的主机意味着全盘大部分的可执行文件，主要是 exe、scr 和 HTML 文档，都会被恶意修改，追加恶意代码，任何一个软件应用被打开，都极可能触发Virut运行起来。

小白：全盘！它它它要干啥？

大东：可执行文件的感染主要是追加可执行代码，在关键跳转位置修改EP值，以达到跳转到恶意代码流程的目的。

小白：啥是 EP 值？

大东：EP 是 EnterPoint， Windows 可执行文件的代码入口点，就是执行应用程序时最先执行的代码的起始位置。下面这两张图，就是某个可执行文件感染前后 EP 值的变化。

某个可执行文件被感染前的 EP

该可执行文件被感染后的 EP

小白：噢……

大东：在中毒电脑上全盘搜索 HTML 文档，随意打开其中一个，可以发现该文档尾部被追加了一个 C&C 站点地址。

受 Virut 感染的 HTML 文档

小白：C&C？

大东：Command and Control。C&C 服务器可以通过命令来操控受害者机器，这种方法在病毒木马上很常见。

小白：噢！就像是《猫和老鼠》里老鼠为了对付猫，把岔道口处的牌子弄反让猫走错路的手段一样，病毒改了路标，把受害者引向埋伏地~

注入其他进程

大东：没错，理解得很到位！Virut 病毒还能将恶意代码注入到其它进程中运行，可以是系统进程或者其它应用进程，注入比较多的进程是系统进程winlogon.exe。

小白：winlogon.exe 什么来头？

大东：winlogon.exe 是 Windows 登陆应用进程，管理用户登录和退出，随着系统启动而启动并一直运行。

下面这张图展示的是 Virut 的某个变种将自己的模块代码注入了 winlogon.exe 的进程模块。

受感染的 winlogon.exe

如果用 Notepad++打开这两个注入的 dll，会发现有 http://zief.pl/rc，这与 HTML 文档中的感染值一致。

打开 Virut 注入的 dll 模块

意在窃取信息

小白：我的天！Virut 处心积虑地这么做是为了啥呀？

大东：Virut 的目的在于长期利用受害者主机，窃取用户重要信息，下载并给用户安装不必要的流氓或恶意软件，以赚取软件安装费用，也可做为 DDoS 终端、发垃圾或钓鱼邮件、成为跳板做欺诈等违法行为。据我所知，有的公司局域网中了 Virut，直接整个儿都不好了，什么卡巴斯基 Virut 专杀、费尔 Virut 专杀、VirutKiller，杀完毒确实有效，但过了一个星期，Virut 又死灰复燃了。清理 Virut，谨慎处理！

小白：啊！那我的电脑还有救吗？

大东：别急，办法还是有的。当系统发现被感染后，千万不要再访问该硬盘任何分区根目录，或是运行硬盘里的任何程序，否则，极有可能被再次感染。

小白：能把病毒清干净吗？

大东：Virut 的变种是非常多的，黑客也与时俱进，不断的加强和完善该病毒的各项能力。Virut 是否还有些不为人知的特殊技能来躲过专杀工具，还不得而知。如果你想彻底清除病毒，那就把重要的文档文件复制出来，当然，所有 HTML 文件和二进制文件都果断抛弃了，然后重装系统，这种方法是最为安全的。

小白：就照大东东说的办！

四、话说漫威

大东：听过A.I.M.么，小白？

小白：啊？？

大东：全称叫做 Advanced Idea Mechanics，中文译为先锋科技。

小白：嗯，一个很接地气儿的中文名~

大东：先锋科技为九头蛇组织——海德拉（Hydra）研发颠覆性的军事科技。在二十世纪六十年代末， A.I.M.与九头蛇组织分道扬镳。

A.I.M.

小白：所谓分久必合，合久必分~

大东：在默多克（M.O.D.O.K.）领导的时代，A.I.M.更注重与复仇者的战斗，并研制出Virut，该家族是一种文件感染型病毒，能够感染受损系统中的.exe和.scr文件，开启后门实现远程攻击。

小白：太坏了！我可怜的小破本本儿呀~~

来源：中科院之声