Ramnit蠕虫

Ramnit蠕虫

1、病毒简介

Ramnit 是一个典型的VBScript蠕虫病毒，能够通过网页挂马的方式进行传播，用户在浏览器中浏览挂载该恶意代码的HTML页面后并点击加载ActiveX控件后主机就有可能受到恶意代码的感染

2、病毒危害

Ramnit病毒可以监控网络访问活动等，可能导致网上银行交易等信息的泄露或盗取；该病毒还可以扫描和浏览服务器中的文件系统，获取敏感的文件信息；此外该病毒通过控制某台计算机可以作为攻击者的跳板对整个内部网络造成危害。

3、终端验证

1、文件

在被植入了 Ramnit 病毒的主机中，病毒会感染主机中的 .html 或 .htm 后缀的网页，在 .html 或 .htm 文件中添加如下的 vbs 攻击代码。

 IE 浏览器运行 vbs 恶意代码后，在 temp 目录下生成 svchost.exe 病毒，svchost.exe 病毒程序运行后在 User 目录或者 Program Files 目录下创建 Microsoft/DesktopLayer.exe 可执行程序。DesktopLayer.exe 启动 IE 的浏览器的进程 iexplore.exe，并将 iexplore.exe 地址空间替换成病毒的恶意代码，后续的感染 html 文件、可执行文件及网络通信均是通过被替换的 iexplore.exe 进程来实现。此外病毒还会修改注册表项 HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit，来达到开机启动的目的。

2、网络行为

fget-career.com是Ramnit病毒的控制端，通过wireshark抓包可以发现，受控主机有访问fget-career.com的行为

4、查杀处理

1、使用EDR在感染病毒的电脑上进行全盘扫描查杀，查杀结束后重启计算机，并检查重启后是否有其他新的文件或进程生成。

2、使用专杀工具，Ramnit是感染型的顽固病毒，建议使用专杀工具进行查杀，这里推荐下卡巴斯基。由于Ramnit的高恶意，高传染性，仍然建议再配合使用杀毒软件进行一次全盘查杀。

3、用户优化设置，IE浏览器用户设置一下安全设置（建议设置为中-高安全级别），是否执行来源不明的ActiveX控件由我们做出选择，或者禁止执行来源不明的ActiveX控件。最后，我们推荐舍弃旧版本的IE浏览器，使用谷歌浏览器、火狐浏览器、QQ浏览器等，都比低版本的IE强