×

Ramnit 蠕虫病毒分析和查杀
  

Sangfor_闪电回_朱丽 30464

{{ttag.title}}
来自千里目安全实验室

                       
Ramnit 蠕虫病毒分析和查杀                     
                              
                                                   
     近期,千里目安全实验室在网络威胁监控中发现,恶意域名 fget-career.com 在近一年时间里,被某公司下一代防火墙成功拦截多达 5220316 次。经过分析发现,域名 fget-career.com 是 Ramnit 病毒的控制服务器,感染了 Ramnit 病毒的主机会试图访问该 C&C 服务器。

千里百科

      Ramnit 是一种蠕虫病毒。拥有多种传播方式,不仅可以通过网页进行传播,还可以通过感染计算机内可执行文件进行传播。该病毒在 2010 年第一次被安全研究者发现,从网络威胁监控中可以看出目前仍然有大量的主机感染该病毒,所以 Ramnit 依然是网络空间世界的重大威胁之一。


危害
      Ramnit病毒可以监控网络访问活动等,可能导致网上银行交易等信息的泄露或盗取;该病毒还可以扫描和浏览服务器中的文件系统,获取敏感的文件信息;此外该病毒通过控制某台计算机可以作为攻击者的跳板对整个内部网络造成危害。

影响范围

       据称该病毒在全球感染了超过320万台计算机,某公司安全中心还对对互联网上部分的web服务器进行搜集,共发现26000多个对外开放的网站被该病毒所感染,再加上不对外开放的服务器及PC主机,由此也可以看出该病毒目前感染量依然很巨大,部分检测到的被感染web服务器主机:




应对方式
1、检测与防御
      查看html或者htm文件是否被追加入了上述提及的vbs恶意脚本;安装杀毒软件,主流杀软可以对该病毒进行检测,也可进行查杀,不过可能会导致将被感染的exe等可执行文件清除,导致某些软件无法使用,可以优先使用专杀工具尝试恢复。

2、预防
      使用高版本的 IE 浏览器,且设置较高的安全等级:




  不轻易允许陌生网站的 ActiveX 运行请求或者 Script Runtime 运行请求:



3、查杀
      赛门铁克针对 Ramnit 病毒制作了专杀工具,被感染的小伙伴们可以下载使用:
https://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99


传播过程

1、Ramnit 病毒的网页传播方式
      在被植入了 Ramnit 病毒的主机中,病毒会感染主机中的 .html 或 .htm 后缀的网页,在 .html 或 .htm 文件中添加如下的 vbs 攻击代码:




      当使用低版本或安全策略配置不当的 IE 浏览器访问被 Ramnit 感染的 html 网页时,感染 html 网页的 vbs 攻击代码将被执行,创建并运行 Ramnit 病毒。继而 Ramnit 病毒会感染访问者本地计算机的 html 文件,从而形成蠕虫的自动化传播。
传播过程如下图所示:



      IE 浏览器运行 vbs 恶意代码后,在 temp 目录下生成 svchost.exe 病毒,svchost.exe 病毒程序运行后在 User 目录或者 Program Files 目录下创建 Microsoft\DesktopLayer.exe 可执行程序。DesktopLayer.exe 启动 IE 的浏览器的进程 iexplore.exe,并将 iexplore.exe 地址空间替换成病毒的恶意代码,后续的感染 html 文件、可执行文件及网络通信均是通过被替换的 iexplore.exe 进程来实现。此外病毒还会修改注册表项 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit,来达到开机启动的目的。

2、Ramnit 病毒的本地传播方式
      除了通过网页传播外,Ramnit 病毒还可以通过感染本地计算机中的 exe、dll、src 等可执行文件的方式进行传播,当被感染的主机将可执行文件拷贝到其他主机中运行时,会形成传播。
感染的可执行文件被添加病毒的代码段,如下图所示:



      红框中的代码段 .rmnet 是病毒向可执行文件中添加的病毒代码段,该代码段先于正常代码运行。
除此之外,据称该病毒也利用挂马工具包等其他方式传播。


打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

feeling 发表于 2017-4-13 19:10
  
分析的不错,学习了
一帆凤顺 发表于 2017-4-13 19:35
  
学习学习
7情6欲 发表于 2017-4-13 20:03
  
学习一下
哥丶珍藏版 发表于 2017-4-13 22:15
  
66666666666
ldcx 发表于 2020-3-23 16:42
  
66666666666
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人