Virus:W32/Ramnit.N

Virus:W32/Ramnit.N wird in infizierten EXE-, DLL- und HTML-Dateien verteilt; Es kann auch über Wechseldatenträger verteilt werden.

Sobald der Virus aktiv ist, infiziert er EXE-, DLL- und HTML-Dateien auf dem Computer. Außerdem wird eine schädliche Datei gelöscht, die versucht, eine Verbindung zu anderen Dateien von einem Remote-Server herzustellen und diese herunterzuladen.

Installation

Wenn ein Ramnit.N-infizierte Datei zuerst ausgeführt wird, wird es eine Kopie von sich selbst an den folgenden Speicherort fallen:

• % programfiles%\Microsoft\Wasserzeichen.exe

Anschließend wird der folgende Mutex erstellt, mit dem sichergestellt wird, dass zu jedem Zeitpunkt nur eine einzige Instanz der Virenkopie auf dem Computer ausgeführt wird:

• { Modell: 061D056A-EC07-92FD-CF39-0A93F1F304E3}

Um sich automatisch auszuführen, wenn das System neu gestartet wird, Der Virus erstellt auch den folgenden Registrierungsstartpunkt:

• HKLM \Software \ Microsoft \ Windows NT \ Aktuelle Version \Winlogon Userinit = c:\windows\system32\userinit.exe,,c:\program dateien \ microsoft \ Wasserzeichen.exe

Infektion

Bevor andere Dateien auf dem Computer infiziert werden, ermittelt die Malware zunächst, ob eine vorherige Instanz ihres Prozesses bereits ausgeführt wird, indem sie nach ihrem eindeutigen Mutex in diesem Format sucht:

• {“8_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“8_hex_digits””4_hex_digits”}

Wenn der Mutex nicht vorhanden ist, erzeugt der Virus einen neuen Prozess (eine Kopie von sich selbst) im folgenden Ordner:

• % programfiles%\Microsoft\.exe

Der gelöschte Prozess erzeugt dann andere versteckte Prozesse (entweder den Standard-Webbrowser-Prozess oder svchost.exe). Die Infektionsroutine wird über einen Hook für native Windows-Systemdienste in diese neuen Prozesse injiziert, zum Beispiel: ntdll.ZwWriteVirtualMemory.

Sobald die Injektion erfolgt ist, wird der Prozess von %programfiles\microsoft\.exe wird beendet, sodass die nachfolgende Infektionsroutine im Hintergrund ausgeführt wird.

Nutzlast

Ramnit.N ändert EXE-, DLL- und HTML-Dateien, indem ein eigener Schadcode an das Ende der Datei angehängt wird.

Wenn die infizierte Datei ausgeführt wird, wird eine weitere schädliche Datei in demselben Verzeichnis abgelegt, in dem sie ausgeführt wurde. Die abgelegte Datei wird im Format “mgr.exe”.

Die gelöschte Datei stellt möglicherweise eine Verbindung zu anderen schädlichen Dateien her und lädt diese von einem Remoteserver herunter.

Andere

Der Malware-Writer bietet auch eine Methode zum Schutz eines Computers vor Infektionen, indem er den folgenden Registrierungsschlüssel und -wert festlegt (diese Funktion wurde wahrscheinlich während der Entwicklung des Dateiinfektors benötigt):

• ” deaktivieren” = “1”