Articles /

Virus:W32/Ramnit.N

Virus: W32 / Ramnit.N distribueras i infekterade EXE -, DLL-och HTML-filer; det kan också distribueras via flyttbara enheter.

när det är aktivt infekterar viruset EXE -, DLL-och HTML-filer som finns på datorn. Det kommer också att släppa en skadlig fil som försöker ansluta till och ladda ner andra filer från en fjärrserver.

Installation

när en Ramnit.N-infekterad fil körs först, det kommer att släppa en kopia av sig själv till följande plats:

  • %programfiles% \ Microsoft \ vattenstämpel.exe

det skapar sedan följande mutex, som används för att säkerställa att endast en enda instans av viruskopian körs på datorn när som helst:

  • {061D056A-EC07-92FD-CF39-0A93F1F304E3}

för att automatiskt utföra sig själv om systemet startas om, skapar viruset också följande registry launchpoint:

  • HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon Userinit = c:\windows\system32\userinit.exe,,c:\program filer \ microsoft \ vattenstämpel.exe

infektion

innan du fortsätter att infektera andra filer på datorn bestämmer skadlig programvara först om en tidigare instans av processen redan körs genom att kontrollera dess unika mutex i det här formatet:

  • {“8_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“8_hex_digits””4_hex_digits”}

om mutex inte är närvarande kommer viruset att skapa en ny process (en kopia av sig själv) i följande mapp:

  • %programfiles% \ Microsoft\.exe

den tappade processen kommer sedan att leka andra dolda processer (antingen standardwebbläsarprocessen eller svchost.exe). Infektionsrutinen injiceras i dessa nya processer via en krok på Windows-inbyggda systemtjänster, till exempel: ntdll.Zwwritevirtualminne.

när injektionen är klar, processen från %programfiles \ microsoft\.exe avslutas och lämnar den efterföljande infektionsrutinen som körs i bakgrunden.

Nyttolast

Ramnit.N ändrar EXE -, DLL-och HTML-filer genom att lägga till sin egen skadliga kod i slutet av filen.

när den infekterade filen körs släpper den en annan skadlig fil till samma katalog där den kördes. Den tappade filen kommer att namnges med formatet, ” mgr.exe”.

den tappade filen kan ansluta till och hämta andra skadliga filer från en fjärrserver.

andra

malware writer ger också en metod för att skydda en maskin från infektion, genom att ställa in följande registernyckel och värde (denna funktion var förmodligen behövs under utvecklingen av filen infector):

  • “inaktivera” = “1”

Leave a Reply