바이럿

1. 개요

---

바이럿(Virut) 바이러스는 파일을 감염시키는 바이러스다. P2P 등을 통해 전파된다. 진단명은 '''Win32/Virut'''[1],'''Win32/Virut.F 및 E'''[2], '''Virus/Win32.Virut.N1624286242'''[3] 등으로 분류되고, Avast의 진단명은 '''Win32:Vitro'''로 분류하고, 알약에서는 '''win32.virtob'''로 분류하기도 하나 제대로 탐지하지 않는다.
.exe(실행 파일), .scr(화면 보호기) 파일들을 감염시키는 바이러스이기 때문에 치료 성공률이 매우 낮다. 걸리면 매우 위험한 바이러스이기도 하다.
또한 바이럿(Virut) 바이러스는 감염을 위해서 Windows 파일 시스템 중 하나인 ntdll.dll에 커널 함수를 후킹해 두고[4][5] 있기 때문에, 완벽한 치료를 위해서는 메모리 치료도 병행해야 한다. 포맷해도 다시 살아나는 경우가 있는데, 감염되고 나서 치료 등의 후처리를 하지 않은 .exe파일을 통해 재감염이 이루어지는 것이다.
Windows 10에서도 작동하기는 하지만... 몇몇 시스템 파일의 감염이 되지 않는 경우가 있다. 단, UWP 앱의 실행 파일은 감염된다.

2. 감염 방식

---

바이럿(Virut) 형의 따라 감염 방식도 다르다.
F형: 원본 EP(Entry-Point)을 변조해서 바이러스 코드가 먼저 실행하도록 하게 만든다.
E형: 원본 EP(Entry-Point)을 변조하지 않고, 내부에 사용하는 정상적인 CALL 명령어를 패치하여 JMP 명령어로 변경을 통해 바이러스 코드가 먼저 실행되도록 하게 만든다.

3. 증상

---

감염됐을 때의 증상은 다음과 같다.

• 실행중인 .exe(실행파일), .scr(화면 보호기) 확장자를 가진 파일을 모조리 감염시킨다. 로컬 드라이브 내의 파일[6]
  참고로 다른 드라이브(USB도 포함)에서 .exe(실행파일)또는 .scr(화면 보호기)를 실행하면 바이러스에 감염된다. 아니면 다른 드라이브(USB도 포함)도 감염될 수도 있다.
  이 대상으로 감염되며, 파일 용량이 소폭 증가한다.
• C#, VB.NET 등으로 만들어진 .NET 기반 프로그램은 감염될 경우 실행이 되지 않는다.[7]
  심지어 감염된 .NET 프로그램을 디컴파일해도 코드에는 아무 이상이 없는 것처럼 나온다(...)
• 감염된 파일을 실행하면, winlogon.exe에 자신을 인젝션하고, 특정 IRC 서버와 웹 호스트에 접속하여 트로이 목마를 다운로드받아 실행시킨다.[8]
  지금은 서버가 사라져서 트로이 목마를 다운로드하고 실행하는 것은 불가능하다.
• Windows 파일 시스템 보호 기능을 무력화한다.[9]
  Windows 파일 보호 쓰레드를 강제로 종료하는 것이다.
  따라서 시스템 파일도 감염 대상이 될 수 있다.
• 컴퓨터가 갑자기 느려지거나 다운될 수 있다. 심한 경우 블루스크린까지 뜰 수 있다.
• 바이러스 백신으로 치료한 이후, 일부 프로그램이 실행이 되지 않는 경우가 있다.

4. 치료

---

일반적으로 바이러스 백신으로 치료하면 일부 파일이 치료가 되지 않거나, 치료가 되어도 일부 파일이 실행이 안 되는[10] 상황 등이 발생한다.
그래서 안랩에서 Win32/Virut 바이러스 전용 백신을 제공해주고 있다. 다운로드 안전 모드로 부팅한 후에 이 백신을 통해 치료해 주자. 이후 재부팅하고 다시 안전 모드로 들어간 후 재검사를 해서, 탐지가 되지 않을 때까지 이 작업을 반복한다.
만약 이 방법이 통하지 않으면[11] 포맷하여 Windows를 재설치해야 한다.

5. 예방

---

• 불법 프로그램을 함부로 다운받지 말 것.
• PCRat 서버 파일을 실행하지 말 것.

6. 관련 문서

---

• 악성코드
• 컴퓨터 바이러스
• 커널 패닉