Virus:W32/Ramnit.N
Virus:W32/Ramnit.N è distribuito in file EXE, DLL e HTML infetti; può anche essere distribuito tramite unità rimovibili.
Una volta attivo, il virus infetta i file EXE, DLL e HTML trovati sul computer. Sarà anche cadere un file dannoso che tenta di connettersi e scaricare altri file da un server remoto.
Installazione
Quando un Ramnit.Il file N-infetto viene prima eseguito, rilascerà una copia di se stesso nella seguente posizione:
- %file di programma% \ Microsoft \ WaterMark.exe
poi crea il seguente mutex, che viene utilizzato per garantire che solo una singola istanza del virus copia è in esecuzione sulla macchina in qualsiasi momento:
- {061D056A-EC07-92FD-CF39-0A93F1F304E3}
per eseguire automaticamente quando il sistema viene riavviato, il virus crea anche il registro di sistema seguente launchpoint:
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit = c:\windows\system32\userinit.exe,, c:\program file \ microsoft \ filigrana.exe
Infezione
Prima di procedere ad infettare altri file sulla macchina, il primo malware determina se una precedente istanza del suo processo è già in esecuzione, selezionare per la sua unica mutex in questo formato:
- {“8_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“8_hex_digits””4_hex_digits”}
Se il mutex non è presente, il virus di generazione di un nuovo processo (una copia di se stesso) nella seguente cartella:
- %programfiles%\Microsoft\.exe
Il processo eliminato genererà quindi altri processi nascosti (il processo predefinito del browser Web o svchost.exe). La routine di infezione viene iniettato in questi nuovi processi tramite un gancio su Windows Native System Services, per esempio: ntdll.ZwWriteVirtualMemory.
Una volta eseguita l’iniezione, il processo da %programfiles\microsoft\.exe termina, lasciando la successiva routine di infezione in esecuzione in background.
Carico utile
Ramnit.N modifica i file EXE, DLL e HTML aggiungendo il proprio codice dannoso alla fine del file.
Quando il file infetto viene eseguito, rilascia un altro file dannoso nella stessa directory in cui è stato eseguito. Il file caduto sarà chiamato usando il formato, ” mons.exe”.
Il file eliminato potrebbe connettersi e scaricare altri file dannosi da un server remoto.
Altri
Il malware writer fornisce anche un metodo per proteggere una macchina da infezioni, impostando la seguente chiave di registro e il valore (questa funzione è stata probabilmente necessaria durante lo sviluppo del file infector):
- “disabilita” = “1”
Leave a Reply