Virus: W32 / Ramnit.N
Virus:W32/Ramnit.N wordt gedistribueerd in geïnfecteerde EXE, DLL en HTML-bestanden; het kan ook worden gedistribueerd via verwijderbare schijven.
zodra het virus actief is, infecteert het EXE -, DLL-en HTML-bestanden die op de computer worden gevonden. Het zal ook een kwaadaardig bestand dat probeert te verbinden met en downloaden van andere bestanden van een externe server te laten vallen.
installatie
wanneer een Ramnit.N-geïnfecteerde bestand wordt eerst uitgevoerd, zal het een kopie van zichzelf naar de volgende locatie te laten vallen:
- %programmabestanden% \ Microsoft \ watermerk.exe
vervolgens maken de volgende mutex, die wordt gebruikt om slechts een enkel exemplaar van het virus te kopiëren wordt uitgevoerd op het apparaat op elk moment:
- {061D056A-EC07-92FD-CF39-0A93F1F304E3}
om automatisch te kunnen uitvoeren, zelf als het systeem opnieuw is opgestart, wordt het virus creëert tevens de volgende register launchpoint:
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit = c:\windows\system32\userinit.exe,,c:\program bestanden \ microsoft \ watermerk.exe
Infectie
Voordat u doorgaat om andere bestanden te infecteren op de machine, de malware eerst bepaalt of een vorige exemplaar van het proces is al uitgevoerd door te controleren voor de unieke mutex in dit formaat:
- {“8_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“8_hex_digits””4_hex_digits”}
Als de mutex niet aanwezig is, zal het virus in een nieuw proces (een kopie van zichzelf) in de volgende map:
- %programfiles%\Microsoft\.exe
het weggevallen proces zal dan andere verborgen processen starten (ofwel het standaard webbrowserproces of svchost.executable). De infectie routine wordt geïnjecteerd in deze nieuwe processen via een hook op Windows Native System Services, bijvoorbeeld: ntdll.ZwWriteVirtualMemory.
zodra de injectie is voltooid, het proces van %programfiles\microsoft\.exe eindigt, waardoor de daaropvolgende infectie routine draait op de achtergrond.
Payload
Ramnit.N wijzigt EXE, DLL en HTML-bestanden door het toevoegen van zijn eigen kwaadaardige code aan het einde van het bestand.
wanneer het geïnfecteerde bestand wordt uitgevoerd, laat het een ander kwaadaardig bestand vallen in dezelfde map waar het werd uitgevoerd. De dropped bestand zal worden genoemd met behulp van het formaat, ” mgr.executable”.
het verwijderde bestand kan verbinding maken met andere schadelijke bestanden en deze downloaden van een externe server.
andere
de malware writer biedt ook een methode om een machine te beschermen tegen infectie, door het instellen van de volgende registersleutel en waarde (Deze functie was waarschijnlijk nodig tijdens de ontwikkeling van de file infector):
- “uitschakelen” = “1”
Leave a Reply