Virus: W32/Ramnit.N
Virus: W32/Ramnit.N est distribué dans des fichiers EXE, DLL et HTML infectés; il peut également être distribué via des lecteurs amovibles.
Une fois actif, le virus infecte les fichiers EXE, DLL et HTML trouvés sur l’ordinateur. Il déposera également un fichier malveillant qui tente de se connecter et de télécharger d’autres fichiers à partir d’un serveur distant.
Installation
Lorsqu’un Ramnit.Le fichier N-infecté est d’abord exécuté, il déposera une copie de lui-même à l’emplacement suivant:
- % fichiers de programme%\Microsoft\FiligRane.exe
Il crée ensuite le mutex suivant, qui est utilisé pour s’assurer qu’une seule instance de la copie du virus s’exécute sur la machine à tout moment:
- { 061D056A-EC07-92FD-CF39-0A93F1F304E3}
Afin de s’exécuter automatiquement si le système est redémarré, le virus crée également le point de lancement de registre suivant:
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit= c:\windows\system32\userinit .exe,,c:\program fichiers \ microsoft\ filigrane.exe
Infection
Avant de continuer à infecter d’autres fichiers sur la machine, le logiciel malveillant détermine d’abord si une instance précédente de son processus est déjà en cours d’exécution en vérifiant son mutex unique dans ce format:
- {“8_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“8_hex_digits””4_hex_digits”}
Si le mutex n’est pas présent, le virus engendrera un nouveau processus (une copie de lui-même) dans le dossier suivant:
- % fichiers de programme %\Microsoft\.exe
Le processus supprimé génère alors d’autres processus cachés (soit le processus de navigateur Web par défaut, soit svchost.EXE). La routine d’infection est injectée dans ces nouveaux processus via un crochet sur les services système natifs Windows, par exemple: ntdll.Mémoire écrite.
Une fois l’injection terminée, le processus à partir de %programfiles\microsoft\.exe se termine, laissant la routine d’infection ultérieure en arrière-plan.
Charge utile
Ramnit.N modifie les fichiers EXE, DLL et HTML en ajoutant son propre code malveillant à la fin du fichier.
Lorsque le fichier infecté est exécuté, il dépose un autre fichier malveillant dans le même répertoire où il a été exécuté. Le fichier déposé sera nommé en utilisant le format “mgr.EXE”.
Le fichier supprimé peut se connecter et télécharger d’autres fichiers malveillants à partir d’un serveur distant.
Autres
Le logiciel malveillant fournit également une méthode pour protéger une machine contre l’infection, en définissant la clé et la valeur de registre suivantes (cette fonctionnalité était probablement nécessaire lors du développement de l’infecteur de fichiers):
- ” désactiver” = “1”
Leave a Reply