1. 개요
2000년대 중후반에 출현한 컴퓨터 바이러스. 나온 지 오래된 바이러스이지만 아직까지도 웹상에서 돌아다니고 있으며 여전히 감염되면 위험하다.2. 상세
파일을 감염시키는 바이러스다. P2P 등을 통해 전파된다. 진단명은 Win32/Virut[1],Win32/Virut.F 및 E[2], Virus/Win32.Virut.N1624286242[3] 등으로 분류되고, Avast의 진단명은 Win32:Vitro로 분류하고, 알약에서는 win32.virtob로 분류하기도 하나 제대로 탐지하지 않는다.[4].exe(실행 파일), .scr(화면 보호기) 파일들을 감염시키는 바이러스이기 때문에 치료 성공률이 매우 낮다. 걸리면 매우 위험한 바이러스이기도 하다.
또한 바이럿(Virut) 바이러스는 감염을 위해서 Windows 파일 시스템 중 하나인 ntdll.dll에 커널 함수를 후킹해 두고[5][6] 있기 때문에, 완벽한 치료를 위해서는 메모리 치료도 병행해야 한다. 포맷해도 다시 살아나는 경우가 있는데, 감염되고 나서 치료 등의 후처리를 하지 않은 .exe파일을 통해 재감염이 이루어지는 것이다.
Windows 7에서도 잘 작동한다. 다만 확실히 Windows XP보다는 감염 속도가 느리고 제한적이다.[7] 시스템 파일은 쉽게 감염되지 않으나 응용 프로그램들은 무서운 속도로 감염된다. 감염된 파일은 제대로 실행되지 않고 오류를 출력한다.
Windows 10에서도 작동하기는 하나 UAC 덕분에 관리자 권한으로 실행해야만 제대로 작동하고 그 마저도 소유주 문제로 시스템 파일이 감염되지 않는다. 다만 UWP 앱 실행 파일은 감염된다.
3. 감염 방식
유형에 따라 감염 방식도 다르다.F형: 원본 EP(Entry-Point)를 변조해서 바이러스 코드가 먼저 실행하도록 하게 만든다.
E형: 원본 EP(Entry-Point)를 변조하지 않고, 내부에 사용하는 정상적인 CALL 명령어를 패치하여 JMP 명령어로 변경을 통해 바이러스 코드가 먼저 실행되도록 하게 만든다.
이외에도 수많은 변종이 존재한다.
4. 증상
감염됐을 때의 증상은 다음과 같다.- 실행중인 .exe(실행파일), .scr(화면 보호기) 확장자를 가진 파일을 모조리 감염시킨다. 로컬 드라이브 내의 파일[8]이 대상으로 감염되며, 파일 용량이 소폭 증가한다.
- Microsoft .NET 기반 프로그램은 감염되면 아예 실행되지 않는다.
- 감염된 파일을 실행하면, winlogon.exe에 자신을 인젝션하고, 특정 IRC 서버와 웹 호스트에 접속하여 트로이 목마를 다운로드받아 실행시킨다.[9]
- Windows 파일 시스템 보호 기능을 무력화한다.[10] 따라서 시스템 파일도 감염 대상이 될 수 있다. Windows 2000/XP의 경우 Windows 파일 보호 시스템에서 중요 파일이 변조되었으니 설치 CD를 삽입하라는 알림이 뜬다.
- 컴퓨터가 갑자기 느려지거나 다운될 수 있다. 심한 경우 블루스크린까지 뜰 수 있다.
- 바이러스 백신으로 치료한 이후, 일부 프로그램이 실행이 되지 않는 경우가 있다.[11]
5. 치료
일반적으로 바이러스 백신으로 치료하면 일부 파일이 치료가 되지 않거나, 치료가 되어도 일부 파일이 실행이 안 되는[12] 상황 등이 발생한다.그래서 안랩에서 Win32/Virut 바이러스 전용 백신을 제공해주고 있다. 다운로드[13] 안전 모드로 부팅한 후에 이 백신을 통해 치료해 주자. 이후 재부팅하고 다시 안전 모드로 들어간 후 재검사를 해서, 탐지가 되지 않을 때까지 이 작업을 반복한다.
만약 이 방법이 통하지 않으면[14] 포맷하여 Windows를 재설치해야 한다.
6. 예방
출현한지 오래된 파일 실행형 바이러스이므로 기본적인 보안 수칙을 준수하는 것만으로도 충분히 예방이 가능하다.- 불법 프로그램을 함부로 다운받지 말 것.
- PCRat 서버 파일을 실행하지 말 것.
7. 관련 문서
[1]
Windows Defender 및 MRT
[2]
이게 걸리면 F형, E형 중 하나만 감염된다. F형, E형 동시에 걸리는 경우도 있다
[3]
바이러스 토탈에서
안랩 V3이 이렇게 탐지하기도 했으나, 실제로는 Win32/Virut.F 로 탐지한다. 주의할 것
[4]
실시간 감시는 물론이고 파일 검사로도 제대로 검출되지 않는다. 이게 언제 나온 바이러스인데 아직까지(...)
[5]
NtCreateFile, NtCreateProcess, NtCreateProcessEx(
윈도우 2000은 해당하지 않음)
[6]
변조된 ntdll.dll 은 V3에서 Win32/Virut 로 진단한다. 또한 진단하자마자 바로 치료한다.
[7]
Windows XP는 권한 개념이 모호했으나
Windows Vista부터
사용자 계정 컨트롤를 도입하여 권한 개념을 제대로 정립시키면서 쉽게 시스템 파일을 건들 수 없게 되었다.
[8]
참고로 다른 드라이브(USB도 포함)에서 .exe(실행파일)또는 .scr(화면 보호기)를 실행하면 바이러스에 감염된다. 아니면 다른 드라이브도 감염될 수도 있다. 만약 Windows 설치 USB가 감염되고, 이걸로 Windows 설치를 진행한다면...
더 이상의 자세한 설명은 생략한다.
[9]
지금은 서버가 사라져서 트로이 목마를 다운로드하고 실행하는 것은 불가능하다.
[10]
Windows 파일 보호 쓰레드를 강제로 종료하는 것이다.
[11]
온갖 파일을 닥치는대로 감염시키다 보니 치료 과정에서 필연적으로 일부 프로그램이 손상된다.
[12]
특히 .NET 기반으로 만든 프로그램들
[13]
참고로 확장자는 com으로 되어 있다. 바이럿이 exe와 scr만 감염시킨 점을 감안해서 이렇게 정한 것
[14]
안전 모드 접근이 안 되는 등