MORTO Mallware

Het Morto virus bestaat al van voor 2012. Inmiddels zijn er uit deze “bron” diverse verbeterde uitvoeringen gekomen. welke steeds moeilijker te detecteren zijn.  Op dit moment zijn er zelfs een aantal varianten welke door geen van de huidige virus scanners wordt gedetecteerd. En toch is deze aanwezig, op zich erg knap van de makers natuurlijk en een uitdaging voor de systeembeheerder om zo een virus toch te vinden.

Kenmerken van herkenbaarheid.

Controleer met regedit in HKLM/system naar de key WPA.  Vergelijk deze key met een ander systeem, en ontdek dat normaal in de key slechts een enkel veld is gedefinieerd, maar geen tien tallen.  Velden welke aanwezig kunnen zijn zijn : id, sn en sr.  Als dit klopt dan is er grote kans op besmetting.

Eigenlijk weet je nu al genoeg, en kunnen we overgaan tot elimineren van het virus. open in een 2e scherm opnieuw regedit en ga naar HKLM/systeem/services er is nu een service aanwezig met de naam die meestal overeenkomt met het veld id. Zet deze autostart van dit veld op disable.

Nu nog even een herstart van het systeem.

De Mallware is niet verwijderd maar geneutraliseerd. nu is het wachten op een virus scanner die wel een goede detectie heeft. Door deels software te verwijderen blijven er altijd sporen achter en is de vingerafdruk voor de antivirus software onvoldoende. Geduld is een goede zaak.

Controleren of de neutralisatie echt werkt kan bijv met Wireshark door in het netwerk of op het werkstation te luisteren op DNS aanvragen. Wij vonden aanvragen naar de volgende domeinen : <..>.jifr.net  <..>.jifr.co.cc   <..>.jifr.co.be. De DNS server welke wordt aangeroepen is vaak 8.8.8.8 8.8.4.4. 4.2.2.1 4.2.2.2  en er wordt de inhoud van het txt record opgevraagd.

Succes met je gevecht en bedenk dat het kwaad nooit zal overwinnen.