Articles /

Virus:W32/Ramnit.N

Virus:W32/Ramnit.N distribueres i infiserte EXE, DLL OG HTML-filer; det kan også distribueres via flyttbare stasjoner.

når aktiv, viruset infiserer EXE, DLL OG HTML-filer som finnes på datamaskinen. Det vil også slippe en ondsinnet fil som forsøker å koble til og laste ned andre filer fra en ekstern server.

Installasjon

Når En Ramnit.N-infisert fil utføres først, den vil slippe en kopi av seg selv til følgende sted:

  • %programfiles % \ Microsoft \ Vannmerke.exe

den oppretter deretter følgende mutex, som brukes til å sikre at bare en enkelt forekomst av viruskopien kjører på maskinen når som helst:

  • {061D056A-EC07-92FD-CF39-0A93F1F304E3}

for å automatisk utføre seg selv hvis systemet startes på nytt, oppretter viruset også følgende registerstartpunkt:

  • HKLM \ Programvare \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon Userinit = c:\windows\system32\userinit.exe,,c:\program filer \ microsoft \ vannmerke.exe

Infeksjon

før du fortsetter å infisere andre filer På maskinen, bestemmer malware først om en tidligere forekomst av prosessen allerede kjører ved å sjekke for sin unike mutex i dette formatet:

  • {“8_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“8_hex_digits””4_hex_digits”}

hvis mutex ikke er til stede, vil viruset gyte en ny prosess (en kopi av seg selv) i følgende mappe:

  • %programfiles%\Microsoft\.exe

droppet prosessen vil da gyte andre skjulte prosesser (enten standard nettleser prosess eller svchost.exe). Infeksjonsrutinen injiseres i disse nye prosessene via en krok På Windows Native System Services, for eksempel: ntdll.ZwWriteVirtualMemory.

når injeksjonen er ferdig, vil prosessen fra %programfiles\microsoft\.exe avsluttes, slik at den påfølgende infeksjon rutine kjører i bakgrunnen.

Nyttelast

Ramnit.N endrer EXE, DLL og HTML-filer ved å legge sin egen ondsinnet kode til slutten av filen.

når den infiserte filen kjøres, faller den en annen ondsinnet fil til samme katalog der den ble utført. Den droppet filen vil bli navngitt ved hjelp av formatet, ” mgr.exe”.

den droppet filen kan koble til og laste ned andre skadelige filer fra en ekstern server.

Andre

malware writer gir også en metode for å beskytte en maskin mot infeksjon, ved å sette følgende registernøkkel og verdi (denne funksjonen var sannsynligvis nødvendig under utviklingen av filinfektoren):

  • “deaktiver” = “1”

Leave a Reply