顽固木马清理专题之感染型病毒《影响范围最广的计算机病毒Ramnit》

Ramnit病毒最早于2010年被发现，通过感染可执行文件和html文件传播。后续的变种中被增加了与C&C通讯的功能，从而使攻击者可以控制Ramnit感染的僵尸网络。

Ramnit是迄今未知感染用户最多，影响范围最广的感染型病毒，在信任区存量木马中占比超过20%。而且该病毒也是最令用户困扰的病毒之一，根据我们统计，从2010年起，关于Ramnit病毒杀不干净的反馈在各安全论坛中持续存在。

顽固木马清理专题之感染型病毒《影响范围最广的病毒Ramnit》

本文中，我们以用户反馈最多的变种Ramnit.X为例，分析其感染流程。Ramnit会感染可执行文件和html文件：

顽固木马清理专题之感染型病毒《影响范围最广的病毒Ramnit》

遍历磁盘，当发现可执行文件时，通过新增节区的方式，将恶意代码植入可执行文件中，并将程序入口点修改为病毒代码，关键逻辑如下：

顽固木马清理专题之感染型病毒《影响范围最广的病毒Ramnit》

遍历磁盘中的html文件，并判断最后9个字节是否为，若不是则在文件尾部插入一段恶意javascript代码，代码的功能是将Ramnit感染源释放到磁盘并执行：

顽固木马清理专题之感染型病毒《影响范围最广的病毒Ramnit》

此外，Ramnit会通过感染可移动设备将病毒传播到其他计算机上，当遍历到可移动设备时，会先通过判断autorun.inf文件的前三个字节是否为”RmN”来确定设备是否已经被感染，随之将病毒拷贝到可移动设备下，并添加autorun.inf自动运行病毒。

顽固木马清理专题之感染型病毒《影响范围最广的病毒Ramnit》

被感染的文件执行时会判断病毒的互斥体是否已经存在，若不存在，则会释放感染源并执行，反之则不再执行病毒逻辑，还原原始程序的入口点并调用。所以用户在使用软件的过程中，一般不会感知到其他异常。

顽固木马清理专题之感染型病毒《影响范围最广的病毒Ramnit》

给用户带来什么危害？

感染型病毒在感染可执行文件之后也会存在一些其他的安全问题。（1），将可执行文件感染坏，导致程序无法正常运行。（2），可执行文件会校验文件哈希等特征，然而感染之后这些特征会被改变，所以也会导致程序无法运行等等。

顽固木马清理专题之感染型病毒《影响范围最广的病毒Ramnit》

常见的感染型病毒除了感染模块之外，还会携带一些其他的恶意载荷，包含后门，窃密等等的功能，会导致用户的敏感信息泄漏等风险。

由于感染型病毒特殊的感染机制，感染型病毒清除存在一定的挑战，处理过程中稍有不慎就可能导致程序被再次感染。建议使用360安全卫士并在检测到感染型病毒时启用防感染模式进行全盘查杀：

顽固木马清理专题之感染型病毒《影响范围最广的病毒Ramnit》

360安全卫士能查杀并修复被感染的程序，清除被感染程序体内的恶意代码，就像用手术刀切除患者体内的肿瘤一样。

顽固木马清理专题之感染型病毒《影响范围最广的病毒Ramnit》

热点排行