Articles /

Vírus: W32 / Ramnit.N

Vírus:W32/Ramnit.Az N fertőzött EXE, DLL és HTML fájlokban van elosztva; cserélhető meghajtókon keresztül is elosztható.

az aktiválás után a vírus megfertőzi a számítógépen található EXE, DLL és HTML fájlokat. Ez egy olyan rosszindulatú fájlt is elejt, amely megpróbál csatlakozni más fájlokhoz és letölteni egy távoli szerverről.

telepítés

amikor egy Ramnit.Az N-fertőzött fájl először végrehajtásra kerül, egy példányát a következő helyre dobja:

  • %programfiles% \ Microsoft \ vízjel.exe

ezután hozza létre a következő mutexet, amelyet annak biztosítására használnak, hogy a vírus másolatának egyetlen példánya bármikor futjon a gépen:

  • {061D056A-EC07-92FD-CF39-0A93F1F304E3}

annak érdekében, hogy automatikusan végrehajtja magát, ha a rendszer újraindul, a vírus is létrehozza a következő registry launchpoint:

  • HKLM \ szoftver \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon Userinit = c:\windows\system32\userinit.exe,,c:\program fájlok \ microsoft \ vízjel.exe

fertőzés

mielőtt más fájlokat is megfertőzne a gépen, a rosszindulatú program először meghatározza, hogy a folyamat egy korábbi példánya már fut-e, ellenőrizve annak egyedi mutexét ebben a formátumban:

  • {“8_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“8_hex_digits””4_hex_digits”}

ha a mutex nincs jelen, a vírus új folyamatot (önmagának másolatát) hoz létre a következő mappában:

  • %programfiles% \ Microsoft\.exe

az elvetett folyamat ezután más rejtett folyamatokat hoz létre (vagy az alapértelmezett webböngésző folyamatot, vagy az svchost-ot.exe). A fertőzési rutint ezekbe az új folyamatokba a Windows Native System Services horogján keresztül injektálják, például: ntdll.ZwWriteVirtualMemory.

miután az injekció megtörtént, a folyamat a %programfiles\microsoft\.az exe megszűnik, így a későbbi fertőzési rutin a háttérben fut.

Hasznos Teher

Ramnit.N módosítja az EXE, DLL és HTML fájlokat úgy, hogy saját rosszindulatú kódját a fájl végéhez fűzi.

a fertőzött fájl futtatásakor egy másik rosszindulatú fájlt dob ugyanabba a könyvtárba, ahol végrehajtották. Az elejtett fájlt a ” Mgr.exe”.

az eldobott fájl kapcsolódhat más rosszindulatú fájlokhoz, és letölthet egy távoli szerverről.

Egyéb

a malware writer is biztosít egy módszert, hogy megvédje a gépet a fertőzés, azáltal, hogy a következő rendszerleíró kulcs és érték (ez a funkció valószínűleg szükséges a fejlesztés során a fájl infector):

  • “letiltás” = “1”

Leave a Reply