Articles /

Wirus: W32 / Ramnit.N

Wirus: W32 / Ramnit.N jest dystrybuowany w zainfekowanych plikach EXE, DLL i HTML; może być również dystrybuowany za pomocą dysków wymiennych.

po aktywacji wirus infekuje pliki EXE, DLL i HTML znalezione na komputerze. Spowoduje to również upuszczenie złośliwego pliku, który próbuje połączyć się i pobrać inne pliki ze zdalnego serwera.

instalacja

gdy Ramnit.N-zainfekowany plik jest najpierw wykonywany, upuści swoją kopię do następującej lokalizacji:

  • %programfiles%\Microsoft\WaterMark.exe

następnie tworzy następujący mutex, który jest używany do zapewnienia, że tylko jedna instancja kopii wirusa jest uruchomiona na komputerze w dowolnym momencie:

  • {061D056A-EC07-92FD-CF39-0A93F1F304E3}

aby automatycznie uruchomić się po ponownym uruchomieniu systemu, wirus tworzy również następujący punkt uruchamiania rejestru:

  • HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon Userinit = c:\windows\system32\userinit.exe, c:\program files \ microsoft\watermark.exe

infekcja

przed przejściem do zainfekowania innych plików na komputerze, Złośliwe oprogramowanie najpierw określa, czy poprzednia instancja jego procesu jest już uruchomiona, sprawdzając unikalny mutex w tym formacie:

  • {“8_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“8_hex_digits””4_hex_digits”}

jeśli mutex nie jest obecny, wirus wywoła nowy proces (jego kopię) w następującym folderze:

  • %programfiles%\Microsoft\.exe

upuszczony proces spowoduje pojawienie się innych ukrytych procesów (albo domyślnego procesu przeglądarki internetowej, albo svchostu.exe). Procedura infekcji jest wstrzykiwana do tych nowych procesów za pomocą Hooka w natywnych usługach systemowych Windows, na przykład: ntdll.Zwritevirtualmemory.

po wykonaniu wstrzyknięcia, proces z %programfiles\microsoft\.exe kończy działanie, pozostawiając kolejną procedurę infekcji w tle.

Ramnit.N modyfikuje pliki EXE, DLL i HTML, dołączając własny złośliwy kod na końcu pliku.

gdy zainfekowany plik jest uruchamiany, upuszcza inny szkodliwy plik do tego samego katalogu, w którym został wykonany. Upuszczony plik zostanie nazwany w formacie ” mgr.exe”.

upuszczony plik może łączyć się z innymi złośliwymi plikami i pobierać je ze zdalnego serwera.

inni

malware writer zapewnia również metodę ochrony komputera przed infekcją, ustawiając następujący klucz rejestru i wartość (ta funkcja była prawdopodobnie potrzebna podczas tworzenia infektora plików):

  • “wyłącz” = “1”

Leave a Reply