Virus: W32 / Ramnit.Virus N

: W32 / Ramnit.N se distribuye en archivos infectados EXE, DLL y HTML; también se puede distribuir a través de unidades extraíbles.

Una vez activo, el virus infecta archivos EXE, DLL y HTML que se encuentran en el equipo. También soltar un archivo malicioso que intenta conectar y descargar archivos desde un servidor remoto.

Instalación

Cuando un Ramnit.El archivo N-infectado se ejecuta primero, soltará una copia de sí mismo en la siguiente ubicación:

  • %archivos de programa% \ Microsoft \ Marca de agua.exe

A continuación, crea el siguiente mutex, que se utiliza para garantizar que solo se esté ejecutando una sola instancia de la copia de virus en la máquina en cualquier momento:

  • {061D056A-EC07-92FD-CF39-0A93F1F304E3}

Para ejecutarse automáticamente si se reinicia el sistema, el virus también crea el siguiente punto de lanzamiento del registro:

  • HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon Userinit = c:\windows\system32\userinit.exe,,c:\program archivos \ microsoft \ marca de agua.exe

Infección

Antes de proceder a infectar otros archivos en la máquina, el malware primero determina si una instancia anterior de su proceso ya se está ejecutando comprobando su mutex único en este formato:

  • {“8_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“4_hex_digits”-“8_hex_digits””4_hex_digits”}

Si el mutex no está presente, el virus generará un nuevo proceso (una copia de sí mismo) en la siguiente carpeta:

  • %archivos de programa % \ Microsoft\.exe

El proceso eliminado generará otros procesos ocultos (ya sea el proceso predeterminado del navegador web o svchost.exe). La rutina de infección se inyecta en estos nuevos procesos a través de un gancho en los Servicios del Sistema Nativo de Windows, por ejemplo: ntdll.ZwRitevIrtualmEmoria.

Una vez realizada la inyección, el proceso desde %programfiles \ microsoft\.exe termina, dejando la rutina de infección posterior ejecutándose en segundo plano.

Carga útil

Ramnit.N modifica archivos EXE, DLL y HTML añadiendo su propio código malicioso al final del archivo.

Cuando se ejecuta el archivo infectado, suelta otro archivo malicioso en el mismo directorio donde se ejecutó. El nombre del archivo eliminado se usará con el formato ” mgr.exe”.

El archivo caído puede conectarse y descargar otros archivos maliciosos de un servidor remoto.

Otros

El escritor de malware también proporciona un método para proteger una máquina de infecciones, estableciendo la siguiente clave y valor de registro (esta función probablemente se necesitó durante el desarrollo del infectador de archivos):

  • “desactivar” = “1”

Leave a Reply