Articles /

Vírus:W32/Ramnit.N

Vírus:W32/Ramnit.N é distribuído em arquivos EXE, DLL e HTML infectados; também pode ser distribuído por meio de unidades removíveis.

uma vez ativo, o vírus infecta arquivos EXE, DLL e HTML encontrados no computador. Ele também irá soltar um arquivo malicioso que tenta se conectar e baixar outros arquivos de um servidor remoto.

Instalação

Quando um Ramnit.N-arquivo infectado é executado pela primeira vez, ele vai cair uma cópia de si mesmo para o seguinte local:

  • %programfiles % \ Microsoft \ WaterMark.exe

em seguida, Ele cria o seguinte mutex, que é usado para garantir que apenas uma única instância do vírus cópia está sendo executado na máquina a qualquer momento:

  • {061D056A-EC07-92FD-CF39-0A93F1F304E3}

a fim de executar automaticamente se o sistema for reinicializado, o vírus também cria o seguinte registro launchpoint:

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit = c:\windows\system32\userinit.exe,c:\program arquivos \ microsoft \ marca d’água.exe

Infecção

Antes de prosseguir para infectar outros arquivos no computador, o malware primeiro determina se uma instância anterior do seu processo já está em execução verificando sua única mutex neste formato:

  • {“8_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“8_hex_digits””4_hex_digits”}

Se o mutex não estiver presente, o vírus vai gerar um novo processo (uma cópia de si mesmo) na seguinte pasta:

  • %programfiles%\Microsoft\.exe

o processo descartado gerará outros processos ocultos (O processo padrão do navegador da web ou svchost.exe). A rotina de infecção é injetada nesses novos processos por meio de um gancho nos Serviços do sistema nativo do Windows, por exemplo: ntdll.ZwWriteVirtualMemory.

uma vez que a injeção é feita, o processo de % programfiles \ microsoft\.exe termina, deixando a rotina de infecção subsequente em execução em segundo plano.

Carga Útil

Ramnit.N modifica arquivos EXE, DLL e HTML anexando seu próprio código malicioso ao final do arquivo.

quando o arquivo infectado é executado, ele deixa cair outro arquivo malicioso para o mesmo diretório onde foi executado. O arquivo descartado será nomeado usando o formato, ” mgr.exe”.

o arquivo descartado pode se conectar e baixar outros arquivos maliciosos de um servidor remoto.

Outros

O escritor de malware também fornece um método para proteger uma máquina de infecção, definindo a seguinte chave de registro e valor (esta funcionalidade foi, provavelmente, necessários durante o desenvolvimento do file infector):

  • “desativar” = “1”

Leave a Reply