Virus: W32 / Ramnit.N

Virus: W32 / Ramnit.N este distribuit în fișiere EXE, DLL și HTML infectate; poate fi distribuit și prin unități amovibile.

odată activ, virusul infectează fișierele EXE, DLL și HTML găsite pe computer. De asemenea, va renunța la un fișier rău intenționat care încearcă să se conecteze și să descarce alte fișiere de pe un server de la distanță.

instalare

atunci când un Ramnit.Fișierul infectat cu N este executat mai întâi, va renunța la o copie a acestuia în următoarea locație:

  • %programfiles% \ Microsoft \ filigran.exe

apoi creează următorul mutex, care este utilizat pentru a asigura că o singură instanță a copiei virusului rulează pe mașină în orice moment:

  • {061D056A-EC07-92FD-CF39-0A93F1F304E3}

în scopul de a se executa automat în cazul în care sistemul este repornit, virusul creează, de asemenea, următorul registry launchpoint:

  • HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon Userinit = c:\windows\system32\userinit.exe,,c:\program fișiere\microsoft \ filigran.exe

infecție

înainte de a continua să infecteze alte fișiere de pe computer, malware-ul determină mai întâi dacă o instanță anterioară a procesului său rulează deja verificând mutex-ul său unic în acest format:

  • {“8_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“8_hex_digits””4_hex_digits”}

dacă mutex nu este prezent, virusul va genera un nou proces (o copie a acestuia) în următorul folder:

  • %programfiles% \ Microsoft\.exe

procesul abandonat va genera apoi alte procese ascunse (fie procesul implicit al browserului web, fie svchost.exe). Rutina de infecție este injectată în aceste noi procese printr-un cârlig pe serviciile de sistem Native Windows, de exemplu: ntdll.Zwwritevirtualmemorie.

odată ce injecția este făcută, procesul de la %programfiles\microsoft\.exe se termină, lăsând rutina ulterioară a infecției în fundal.

Sarcină Utilă

Ramnit.N modifică fișierele EXE, DLL și HTML prin adăugarea propriului cod rău intenționat la sfârșitul fișierului.

când fișierul infectat este rulat, acesta scade un alt fișier rău intenționat în același director în care a fost executat. Fișierul abandonat va fi numit folosind formatul” mgr.exe”.

fișierul abandonat s-ar putea conecta și descărca alte fișiere rău intenționate de pe un server de la distanță.

altele

writer malware oferă, de asemenea, o metodă de a proteja o mașină de infecție, prin setarea următoarea cheie de registry și valoarea (această caracteristică a fost, probabil, necesare în timpul dezvoltării infectorului fișier):

  • “dezactivează” = “1”

Leave a Reply