Articles /

Virus:W32/Ramnit.N

Virus:W32/Ramnit.N è distribuito in file EXE, DLL e HTML infetti; può anche essere distribuito tramite unità rimovibili.

Una volta attivo, il virus infetta i file EXE, DLL e HTML trovati sul computer. Sarà anche cadere un file dannoso che tenta di connettersi e scaricare altri file da un server remoto.

Installazione

Quando un Ramnit.Il file N-infetto viene prima eseguito, rilascerà una copia di se stesso nella seguente posizione:

  • %file di programma% \ Microsoft \ WaterMark.exe

poi crea il seguente mutex, che viene utilizzato per garantire che solo una singola istanza del virus copia è in esecuzione sulla macchina in qualsiasi momento:

  • {061D056A-EC07-92FD-CF39-0A93F1F304E3}

per eseguire automaticamente quando il sistema viene riavviato, il virus crea anche il registro di sistema seguente launchpoint:

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit = c:\windows\system32\userinit.exe,, c:\program file \ microsoft \ filigrana.exe

Infezione

Prima di procedere ad infettare altri file sulla macchina, il primo malware determina se una precedente istanza del suo processo è già in esecuzione, selezionare per la sua unica mutex in questo formato:

  • {“8_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“8_hex_digits””4_hex_digits”}

Se il mutex non è presente, il virus di generazione di un nuovo processo (una copia di se stesso) nella seguente cartella:

  • %programfiles%\Microsoft\.exe

Il processo eliminato genererà quindi altri processi nascosti (il processo predefinito del browser Web o svchost.exe). La routine di infezione viene iniettato in questi nuovi processi tramite un gancio su Windows Native System Services, per esempio: ntdll.ZwWriteVirtualMemory.

Una volta eseguita l’iniezione, il processo da %programfiles\microsoft\.exe termina, lasciando la successiva routine di infezione in esecuzione in background.

Carico utile

Ramnit.N modifica i file EXE, DLL e HTML aggiungendo il proprio codice dannoso alla fine del file.

Quando il file infetto viene eseguito, rilascia un altro file dannoso nella stessa directory in cui è stato eseguito. Il file caduto sarà chiamato usando il formato, ” mons.exe”.

Il file eliminato potrebbe connettersi e scaricare altri file dannosi da un server remoto.

Altri

Il malware writer fornisce anche un metodo per proteggere una macchina da infezioni, impostando la seguente chiave di registro e il valore (questa funzione è stata probabilmente necessaria durante lo sviluppo del file infector):

  • “disabilita” = “1”

Leave a Reply