Virut僵尸網絡

1、病毒簡介

Virut感染性病毒，是通過感染全盤可執行文件、HTML文檔來達到破壞計算機系統的目的。一般是將惡意代碼注入到其它進程中運行的，可以是系統進程或者其它應用進程，注入比較多的進程是系統進程winlogon.exe。感染主機的絕大多數進程都被掛了類型為inline的進程鉤子，持續關注關鍵系統調用，截取或篡改系統信息

2、病毒危害

Virut的目的在于長期利用受害者主機，竊取用戶重要信息，下載并給用戶安裝不必要的流氓或惡意軟件，以賺取軟件安裝費用，也可做為DDoS終端、發垃圾或釣魚郵件、成為跳板做欺詐等違法行為。實際上，感染Virut已經意味著主機處于重度高風險之中

3、終端驗證

1、感染文件眾多

Virut變種很多，但都有個共同點，即全盤的可執行文件、HTML基本難以幸免于難，通通被感染，成為潛在的Virut病毒。我們打開一個HTML文檔，可以發現該文檔尾部被追加了一個C&C站點地址。

2、網絡流量

Virut病毒的遠程控制站點通常為ntkrnlp.info、irc.zief.pl，如下圖，是感染主機抓到的DNS流量，它指向了以上兩個地址。

Virut病毒與遠控服務器的通信可能是通過IRC進行的，如圖，抓到的IRC通信流量，此流量顯示感染主機正要加入某個IRC頻道。(注：IRC協議是一種古老的聊天協議，當今互聯網很多惡意程序和C&C服務器通信的時候，使用的是IRC協議)

威脅情報顯示，irc.zief.pl、ntkrnlpa.info 是常見的惡意站點地址，截圖如下：

4、查殺處理

1、使用EDR在感染病毒的電腦上進行全盤掃描查殺，查殺結束后重啟計算機，并檢查重啟后是否有其他新的文件或進程生成。

2、使用專殺工具

Virut是感染型的頑固病毒，建議使用專殺工具進行查殺，這里推薦下卡巴斯基的Virut專殺工具。最后，由于Virut的高惡意，高傳染性，仍然建議再配合使用殺毒軟件進行一次全盤查殺。常見的殺毒軟件很多，這里推薦下火絨的：http://www.huorong.cn/?

注：使用其它常見殺毒軟件也可，問題不大，建議多使用幾個。

3、更為謹慎的處理

Virut病毒的變種是非常多的，黑客與時俱進，不斷的加強和完善該病毒的各項能力。是否還有些不為人知的特殊技能，輕松躲過專殺工具，還不得而知。

而且Virut病毒感染的文件非常多，殺毒工具或專殺工具能否徹底查殺并修復干凈，仍有一定的可能性。如果對主機的安全風險有更高的要求，建議只把文檔文件復制出來（不包括html文件，所有的二進制文件也拋棄不要），然后重裝系統，這樣要來得更安全些。

總結

以上是生活随笔為你收集整理的Virut僵尸网络的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。