Installation
kun virus juoksee, se pudottaa tiedoston nimellä ” <tiedostonimi>Srv.exe ”(esimerkiksi ” mytestSvr.exe”), jossa <tiedostonimi> on saastuneen suoritustiedoston tiedostonimi. Pudotettu tiedosto suoritetaan sitten.
tämä tiedosto saatetaan havaita nimellä Worm: Win32 / Ramnit.A.
leviää kautta…
tartuttaa tiedostoja
Virus:Win32 / Ramnit.A tarttuu .HTML-tiedostoja .HTML tai .HTM-laajennukset. Tartunnan saaneet .HTML tai .HTM-tiedostot voidaan havaita Virus: VBS / Ramnit.A.
hyötykuorma
mahdollistaa takaoven käytön ja ohjauksen / yhteyden etäpalvelimeen
Virus:Win32/Ramnit.A luo takaoven muodostamalla yhteyden etäpalvelimeen. Tämän takaoven avulla etähakkeri voi suorittaa mitä tahansa toimia, mukaan lukien tiedostojen lataaminen ja suorittaminen tartunnan saaneella tietokoneella.
Katso matojen kuvaus: Win32 / Ramnit.Lisätietoja siitä, miten haittaohjelma lataa ja suorittaa tiedostoja.
Injects code
virus luo oletusselainprosessin (jota et näe) ja ruiskuttaa siihen koodia.
se saattaa tehdä näin välttääkseen havaitsemisen ja vaikeuttaakseen tartunnan saaneelta tietokoneelta poistamista.
analyysi Chun Feng