Virus: 32 / Ramnit.N

Virus:32/Ramnit.N distribueres i inficerede ekse -, DLL-og HTML-filer; det kan også distribueres via flytbare drev.

når den er aktiv, inficerer virussen ekse, DLL og HTML-filer, der findes på computeren. Det vil også slippe en ondsindet fil, der forsøger at oprette forbindelse til og hente andre filer fra en ekstern server.

Installation

når en Ramnit.N-inficeret fil udføres først, vil det slippe en kopi af sig selv til følgende placering:

  • %programfiles% \ Microsoft \ vandmærke.eks

det opretter derefter følgende muteks, som bruges til at sikre, at kun en enkelt forekomst af viruskopien kører på maskinen til enhver tid:

  • {061D056A-EC07-92FD-CF39-0A93F1F304E3}

for automatisk at udføre sig selv, hvis systemet genstartes, virus skaber også følgende registry launchpoint:

  • NT \ CurrentVersion \ Userinit = c:\windows\system32\userinit.eks,,c:\program filer \ microsoft \ vandmærke.infektion

infektion

før du fortsætter med at inficere andre filer på maskinen, afgør programmet først, om en tidligere forekomst af dens proces allerede kører ved at kontrollere dens unikke muteks i dette format:

  • {“8_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“8_hex_digits””4_hex_digits”}

hvis muteksen ikke er til stede, vil virussen gyde en ny proces (en kopi af sig selv) i følgende mappe:

  • %programfiles% \ Microsoft\.

den faldne proces vil derefter gyde andre skjulte processer (enten standard internetsøgerprocessen eller svchost.eks). Infektionsrutinen injiceres i disse nye processer via en krog på vinduer Native systemtjenester, for eksempel: ntdll.Skrivervirtuel hukommelse.

når injektionen er færdig, processen fra %programfiles\microsoft\.den efterfølgende infektionsrutine kører i baggrunden.

Nyttelast

Ramnit.N ændrer eks -, DLL-og HTML-filer ved at tilføje sin egen ondsindede kode til slutningen af filen.

når den inficerede fil køres, falder den en anden ondsindet fil til den samme mappe, hvor den blev udført. Den faldne fil navngives ved hjælp af formatet, “mgr.eks”.

den faldne fil kan oprette forbindelse til og hente andre ondsindede filer fra en fjernserver.

andre

programmet giver også en metode til at beskytte en maskine mod infektion ved at indstille følgende registreringsnøgle og værdi (Denne funktion var sandsynligvis nødvendig under udviklingen af filinfektoren):

  • “Deaktiver” = “1”

Leave a Reply