改Ramnit感染型木马爆发1

Ramnit感染型木马爆发

近期360互联安全中心接到大量用户举报，反馈系统反复全盘程序被感染。经排查发现用户中招前都是从一些下载站上下载了一些被恶意代码感染的外挂或工具软件，并且在360报毒后选择了退出360，导致全盘感染。

以其中一个刷钻外挂为例，一个看似正常的下载页面：

但下载下来的外挂程序其实已经遭到了感染，和正常文件相比多了一个名为.rmnet区段:

通过分析手段可以从代码中清晰的看出，程序的入口代码已被恶意篡改，被增加了如下的一段恶意代码，用以执行恶意功能：

恶意代码执行后，会在程序相同目录下创建一个名为本程序名+srv的可执行文件，并片面撒写入恶意代码：

写入的代码如下所示。可以看出，该段具有明显的PE文件特征：

被生成的程序如下所示：

新生成的Srv程序被运行后会在C:\Program Files\Microsoft文件夹下创建名为e的文件。该文是应该选择闪避还是物抗亦或是魔抗件为主要功能的执行文件。

在e运行中hook了ZwWriteVirtualMemory函数，由于CreateProcess函数中会调用ZwWriteVirtualMemory，因此程序实现了在创建IE进程的同时对IE进行注入。

最终，被注入的IE遍历全盘文件，感染全部可执行程序。感染的内容和之前被感染的外挂中被感染的内容相同。

对此，360安全卫士进行了拦截

关注ITBear科技资讯公众号（itbear365 ），每天推送你感兴趣的科技内容。

特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。