Virus: W32 / Ramnit.N

Virus: W32 / Ramnit.N jaetaan tartunnan EXE, DLL ja HTML-tiedostoja; se voidaan myös jakaa kautta irrotettava asemat.

kun virus on aktiivinen, se tarttuu tietokoneelta löytyviin EXE -, DLL-ja HTML-tiedostoihin. Se pudottaa myös haitallisen tiedoston, joka yrittää muodostaa yhteyden ja ladata muita tiedostoja etäpalvelimelta.

asennus

kun Ramnit.N-saastunut tiedosto suoritetaan ensin, se pudottaa kopion itsestään seuraavaan paikkaan:

• %Ohjelmatiedostot % \ Microsoft\vesileima.exe

sen jälkeen luodaan seuraava mutex, jota käytetään varmistamaan, että vain yksi esiintymä viruskopiosta on käynnissä koneessa milloin tahansa:

• {061D056A-EC07-92FD-CF39-0A93F1F304E3}

suorittaakseen itsensä automaattisesti, jos järjestelmä käynnistetään uudelleen, virus luo myös seuraavan rekisterin laukaisupisteen:

• HKLM \ Software \ Microsoft\Windows NT\CurrentVersion \ Winlogon Userinit = c:\windows\system32\userinit.exe c:\program tiedostot \ microsoft\vesileima.exe

infektio

ennen kuin siirrytään tartuttamaan muita tiedostoja koneella, haittaohjelma määrittää ensin, onko sen aikaisempi prosessi jo käynnissä tarkistamalla sen ainutlaatuisen mutexin tässä muodossa:

• {“8_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“8_hex_digits””4_hex_digits”}

jos mutexia ei ole, virus synnyttää uuden prosessin (kopio itsestään) seuraavaan kansioon:

• %Ohjelmatiedostot%\Microsoft\.exe

pudotettu prosessi synnyttää sitten muita piilotettuja prosesseja (joko oletusselainprosessi tai svchost.exe). Tartuntarutiini ruiskutetaan näihin uusiin prosesseihin Windowsin Natiivijärjestelmäpalveluissa olevan koukun kautta, esimerkiksi: ntdll.ZwWriteVirtualMemory.

kun injektio on tehty, prosessi %programfiles\microsoft\.exe lopettaa, jolloin seuraava infektiorutiini kulkee taustalla.

Hyötykuorma

Ramnit.N muokkaa EXE -, DLL-ja HTML-tiedostoja liittämällä Oman haitallisen koodinsa tiedoston loppuun.

kun saastunutta tiedostoa ajetaan, se pudottaa toisen haitallisen tiedoston samaan hakemistoon, jossa se suoritettiin. Pudotettu tiedosto nimetään käyttäen muotoa ” mgr.exe”.

pudotettu tiedosto saattaa muodostaa yhteyden muihin haitallisiin tiedostoihin ja ladata ne etäpalvelimelta.

muut

haittaohjelmakirjoittaja tarjoaa myös menetelmän koneen suojaamiseen tartunnalta asettamalla seuraavan rekisteriavaimen ja arvon (tätä ominaisuutta tarvittiin todennäköisesti tiedoston infectorin kehittämisessä):

• “Poista käytöstä” = “1”