ウイルス:W32/Ramnit.N
ウイルス:W32/Ramnit.Nは感染したEXE、DLLおよびHTMLファイルで配られる;それはまた取り外し可能なドライブによって配ることができる。
アクティブになると、ウイルスはコンピュータ上で見つかったEXE、DLL、およびHTMLファイルに感染します。 また、リモートサーバーに接続して他のファイルをダウンロードしようとする悪意のあるファイルも削除されます。
N-infectedファイルが最初に実行され、次の場所に自分自身のコピーがドロップされます:
- %programfiles%\Microsoft\WaterMark。exe
その後、次のミューテックスを作成し、ウイルスコピーの単一のインスタンスのみがいつでもマシン上で実行されていることを確認するために使用:
- {061D056A-EC07-92FD-CF39-0A93F1F304E3}
システムが再起動された場合に自動的に実行するために、ウイルスは次のレジストリlaunchpointも作成します:
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit=c:\windows\system32\userinit…..exe,,c:\program ファイル\マイクロソフト\ウォーターマーク。exe
感染
マシン上の他のファイルに感染する前に、マルウェアはまず、この形式の一意のミューテックスをチェックすることによって、プロセスの前のイ:
- {“8_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“8_hex_digits””4_hex_digits”}
ミューテックスが存在しない場合、ウイルスは次のフォルダに新しいプロセス(自分自身のコピー)を生成します:
- %programfiles%\Microsoft\.exe
削除されたプロセスは、他の非表示のプロセス(デフォルトのwebブラウザプロセスまたはsvchostのいずれか)を生成します。exe)。 感染ルーチンは、ntdllなどのwindowsネイティブシステムサービスのフックを介してこれらの新しいプロセスに注入されます。ZwWriteVirtualMemory。
注入が完了すると、%programfiles\microsoft\からのプロセス。exeは終了し、後続の感染ルーチンはバックグラウンドで実行されたままになります。
Nファイルの最後に独自の悪意のあるコードを追加することにより、EXE、DLL、およびHTMLファイルを変更します。
感染したファイルが実行されると、別の悪意のあるファイルが実行されたディレクトリにドロップされます。 削除されたファイルの名前は、”mgr.exe”。
削除されたファイルは、リモートサーバーから他の悪意のあるファイルに接続してダウンロードする可能性があります。
その他
マルウェアライターは、次のレジストリキーと値を設定することにより、感染からマシンを保護する方法も提供しています(この機能は、file infectorの開発):
- “無効化” = “1”
Leave a Reply