rmnet感染型病毒分析.docVIP

一、样本信息 病毒名称：Trojan.Win32.Ramnit.efg 文件名称：1Srv.bin MD5：ff5e1f27193ce51eec318714ef038bef SHA1：b4fa74a6f4dab3a7ba702b6c8c129f889db32ca6 二、关键行为 创建互斥 “KyUffThOkYwRRtgPP” 投放文件并且运行 “C:\Program Files\Microsoft\DesktopLayer.exe” 文件遍历方式感染全盘后缀为 “.exe”“.dll”“.htm”“.htm”的文件 写入Autorun.inf 自动播放 进行感染 注入浏览器iexplore.exe进程，使用Hook ZwWriteVirualMemory方式来进行写入内存改变EIP执行 劫持 winlogon 系统项的userinit来运行感染病毒母体 连接CC服务器为443端口，此为HTTPS 访问端口，用来躲避行为检测 连接CC服务器 发送窃取数据 样本运行流程 此感染病毒共有3层打包，每层使用UPX加壳。第一层包装主要内存解密出PE文件，替换自身当前模块内存。第二层主要判断自身路径是否为“C:\Program Files\Microsoft\DesktopLayer.exe”,如果不是则拷贝自身母体至此目录下，然后运行此程序。当判断本路径的是的