Virus: W32 / Ramnit.N

Virus:W32/Ramnit.N je distribuován v infikovaných souborech EXE, DLL a HTML; může být také distribuován prostřednictvím vyměnitelných jednotek.

jakmile je virus aktivní, infikuje soubory EXE, DLL a HTML nalezené v počítači. Rovněž zruší škodlivý soubor, který se pokouší připojit a stáhnout další soubory ze vzdáleného serveru.

instalace

když Ramnit.N-infikovaný soubor je nejprve proveden, bude to kapka kopii sebe do následujícího umístění:

  • %programové soubory%\Microsoft\vodoznak.exe

pak vytvoří následující mutex, který se používá k zajištění toho, aby na počítači byla kdykoli spuštěna pouze jedna instance virové kopie:

  • {061D056A-EC07-92FD-CF39-0A93F1F304E3}

aby se automaticky spustil, pokud je systém restartován, virus také vytvoří následující spouštěcí bod registru:

  • HKLM\Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon Userinit = c:\windows\system32\userinit.exe,,c:\program soubory\microsoft \ vodoznak.exe

infekce

než začnete infikovat další soubory v počítači, malware nejprve určí, zda předchozí instance jeho procesu již běží, kontrolou jeho jedinečného mutexu v tomto formátu:

  • {“8_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“8_hex_digits””4_hex_digits”}

pokud mutex není přítomen, virus vytvoří nový proces (jeho kopii) v následující složce:

  • %programové soubory% \ Microsoft\.exe

upuštěný proces pak vyvolá další skryté procesy (buď výchozí proces webového prohlížeče, nebo svchost.exe). Rutina infekce je do těchto nových procesů vstřikována pomocí háčku na nativních systémových službách systému Windows, například: ntdll.Zwritevirtualmemory.

jakmile je injekce provedena, proces z %programfiles \ microsoft\.exe se ukončí a následná rutina infekce zůstane na pozadí.

Payload

Ramnit.N upravuje soubory EXE, DLL a HTML připojením vlastního škodlivého kódu na konec souboru.

když je infikovaný soubor spuštěn, upustí další škodlivý soubor do stejného adresáře, kde byl spuštěn. Stažený soubor bude pojmenován pomocí formátu, ” Mgr.exe”.

stažený soubor se může připojit a stáhnout další škodlivé soubory ze vzdáleného serveru.

Ostatní

malware writer také poskytuje metodu ochrany počítače před infekcí nastavením následujícího klíče a hodnoty registru (Tato funkce byla pravděpodobně nutná během vývoje souboru infector):

  • “zakázat” = “1”

Leave a Reply