Ramnit感染型木马爆发

标签:木马

访客:20436  发表于:2016-08-24 10:27:34

近期大量用户举报,反馈系统反复全盘程序被感染。经排查发现用户中招前都是从一些下载站上下载了一些被恶意代码感染的外挂或工具软件。

以其中一个QQ刷钻外挂为例,一个看似正常的下载页面:


Ramnit感染型木马爆发

但下载下来的外挂程序其实已经遭到了感染,和正常文件相比多了一个名为”.rmnet”区段:


Ramnit感染型木马爆发


Ramnit感染型木马爆发

通过分析手段可以从代码中清晰的看出,程序的入口代码已被恶意篡改,被增加了如下的一段恶意代码,用以执行恶意功能:


Ramnit感染型木马爆发

恶意代码执行后,会在程序相同目录下创建一个名为“本程序名+srv“的可执行文件,并写入恶意代码:


Ramnit感染型木马爆发

写入的代码如下所示。可以看出,该段具有明显的PE文件特征:


Ramnit感染型木马爆发

被生成的程序如下所示:


Ramnit感染型木马爆发

新生成的Srv程序被运行后会在C:Program FilesMicrosoft文件夹下创建名为DesktopLayer.exe的文件。该文件为主要功能的执行文件。


Ramnit感染型木马爆发

在DesktopLayer.exe运行中hook了ZwWriteVirtualMemory函数,由于CreateProcess函数中会调用ZwWriteVirtualMemory,因此程序实现了在创建IE进程的同时对IE进行注入。


Ramnit感染型木马爆发


Ramnit感染型木马爆发

最终,被注入的IE遍历全盘文件,感染全部可执行程序。感染的内容和之前被感染的外挂中被感染的内容相同。


Ramnit感染型木马爆发

Ramnit感染型木马爆发

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");