Ramnit是一種蠕蟲病毒。擁有多種傳播方式,不僅可以通過網頁進行傳播,還可以通過感染計算機內可執行文件進行傳播。該病毒在2010年第一次被安全研究者發現,從網絡威脅監控中可以看出目前仍然有大量的主機感染該病毒,所以Ramnit依然是網絡空間世界的重大威脅之一。
Ramnit病毒可以監控網絡訪問活動等,可能導致網上銀行交易等信息的泄露或盜取;
該病毒還可以掃描和瀏覽服務器中的文件系統,獲取敏感的文件信息;
此外該病毒通過控制某台計算機可以作為攻擊者的跳板對整個內部網絡造成危害。
病毒樣本分析
微步雲沙箱
1、對網站uri進行掃描
2、掃描結果,HTML含有病毒
3、樣本分析
影響范圍
據稱該病毒在全球感染了超過320萬台計算機,深信服安全中心還對對互聯網上部分的web服務器進行搜集,共發現26000多個對外開放的網站被該病毒所感染,再加上不對外開放的服務器及PC主機,由此也可以看出該病毒目前感染量依然很巨大,部分檢測到的被感染web服務器主機:
應對方式
1、檢測與防御
查看html或者htm文件是否被追加入了上述提及的vbs惡意腳本;安裝殺毒軟件,主流殺軟可以對該病毒進行檢測,也可進行查殺,不過可能會導致將被感染的exe等可執行文件清除,導致某些軟件無法使用,可以優先使用專殺工具嘗試恢復。
2、預防
使用高版本的 IE 瀏覽器,且設置較高的安全等級:
不輕易允許陌生網站的 ActiveX 運行請求或者 Script Runtime 運行請求:
3、查殺
賽門鐵克針對 Ramnit 病毒制作了專殺工具,被感染的小伙伴們可以下載使用:
查殺工具
傳播過程
1、Ramnit 病毒的網頁傳播方式
在被植入了 Ramnit 病毒的主機中,病毒會感染主機中的 .html 或 .htm 后綴的網頁,在 .html 或 .htm 文件中添加如下的 vbs 攻擊代碼:
病毒樣本解壓密碼:Ramnit
當使用低版本或安全策略配置不當的 IE 瀏覽器訪問被 Ramnit 感染的 html 網頁時,感染 html 網頁的 vbs 攻擊代碼將被執行,創建並運行 Ramnit 病毒。繼而 Ramnit 病毒會感染訪問者本地計算機的 html 文件,從而形成蠕蟲的自動化傳播。
傳播過程如下圖所示:
IE 瀏覽器運行 vbs 惡意代碼后,在 temp 目錄下生成 svchost.exe 病毒,svchost.exe 病毒程序運行后在 User 目錄或者 Program Files 目錄下創建 Microsoft\DesktopLayer.exe 可執行程序。DesktopLayer.exe 啟動 IE 的瀏覽器的進程 iexplore.exe,並將 iexplore.exe 地址空間替換成病毒的惡意代碼,后續的感染 html 文件、可執行文件及網絡通信均是通過被替換的 iexplore.exe 進程來實現。此外病毒還會修改注冊表項 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit,來達到開機啟動的目的。
2、Ramnit病毒的本地傳播方式
除了通過網頁傳播外,Ramnit 病毒還可以通過感染本地計算機中的 exe、dll、src 等可執行文件的方式進行傳播,當被感染的主機將可執行文件拷貝到其他主機中運行時,會形成傳播。
感染的可執行文件被添加病毒的代碼段,如下圖所示:
紅框中的代碼段 .rmnet 是病毒向可執行文件中添加的病毒代碼段,該代碼段先於正常代碼運行。
除此之外,據稱該病毒也利用掛馬工具包等其他方式傳播。
病毒危害
會導致賬號密碼、私人數據等個人信息被竊取。
轉載鏈接
深信服社區-Ramnit蠕蟲病毒分析和查殺
天台人滿為患,不如來看下這個Ramnit蠕蟲分析
HTML文件自動加入了VBS代碼?教你解決Ramnit病毒