感染ramnit家族蠕虫的处置建议和方法

已于 2023-02-27 16:41:01 修改
阅读量2.3k 收藏 3
点赞数
文章标签: 网络 网络安全 网络攻击模型 运维 安全威胁分析
于 2023-02-27 16:06:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51068285/article/details/129243641
版权

一、病毒信息:

Ramnit 蠕虫是一种通过可移动驱动器传播的蠕虫。该蠕虫还可以作为后门,允许远程攻击者访问受感染的计算机,通常会寄生在用户的浏览器中,难以察觉。

二、病毒行为:

1.ramnit家族蠕虫病毒会自动找出本地硬盘和移动硬盘上所有的exe、dll、htm和html文件,通过自身副本感染这些文件。

2.利用模块:

间谍模块:该2模块能监控受害人的网络浏览活动并且会假冒网上银行网站,要求受害者提供银行详细信息,然后利用这些窃取的信息进行欺诈。

cookie提取工具:冒充受害者,窃取钱财。

硬盘扫描工具:

匿名FTP服务器:可远程访问,利用服务器上传,下载或者删除文件并执行命令。

虚拟网络计算(VNC)模块:提供了另一种计算机远程访问权限的途径。

FTP捕获工具:能够收集大量FTP客户端的登录凭证。

三、处置建议:

查看进程信息,如果本机未打开任何浏览器,可明显发现默认浏览器进程在运行,这是被病毒运行并注入代码的进行。

查看注册表:HKLM\SOFTWARE\Miscrosoft\windowsNT\currentVersion\winlogon的Userinit值可能被添加了木马路径。

回眸安和
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Ramnit感染型病毒分析处置
不忘初心,护天下安全!
08-03 4398
详细分析Ramnit感染性病毒
Synaptics蠕虫病毒感染解决方案.exe
05-21
Synaptics 蠕虫病毒表现: 1.dll文件被篡改,多了前缀名cache_ 2.桌面的所有xlsx都变成用户为RPC1的xlsm,excel表格数据丢失,无法另存为; 3.桌面锁屏无法生效(无论设置几分钟都不能自动关闭显示器) 注意:excel表现为宏病毒,格式自动变为xlsm Synaptics 蠕虫病毒解决方案: 下载工具,运行脚本即可
赛门铁克蠕虫专杀-FxRamnit很好用
01-14
赛门铁克蠕虫专杀,使用方法:打开软件,Start是开始扫面全盘,扫面完毕会自动列出查到的Ramnit病毒文件,然后杀掉,Close是退出
学习笔记-Ramnit 蠕虫分析
a2a_66666的博客
02-20 655
0x00前言 Ramnit 蠕虫是一种通过可移动驱动器传播的蠕虫。该蠕虫还可以作为后门,允许远程攻击者访问受感染的计算机,通常会寄生在用户的浏览器中,难以察觉,因此每天都有数以万计的用户受其困扰。 分析工具:PEID、火绒剑、IDA、OD 分析环境:Win7 x86 Vmware 0x01样本信息 File name DesktopLayer.exe File Si...
Ramnit蠕虫专杀.rar
11-24
Ramnit蠕虫专杀.rar
Ramnit蠕虫
swordheart的博客
01-23 6007
Ramnit蠕虫 1、病毒简介 Ramnit 是一个典型的VBScript蠕虫病毒,能够通过网页挂马的方式进行传播,用户在浏览器中浏览挂载该恶意代码的HTML页面后并点击加载ActiveX控件后主机就有可能受到恶意代码的感染 2、病毒危害 Ramnit病毒可以监控网络访问活动等,可能导致网上银行交易等信息的泄露或盗取;该病毒还可以扫描和浏览服务器中的文件系统,获取敏感的文件信息;此外该病毒通过控制某台计算机可以作为攻击者的跳板对整个内部网络造成危害。 3、终端验证 1、文件 在被植入了
Ramnit病毒简介
热门推荐
si1ence的博客
01-11 1万+
0x0 背景 1、Ramnit 病毒的网页传播方式 在被植入了 Ramnit 病毒的主机中,病毒会感染主机中的 .html 或 .htm 后缀的网页,在 .html 或 .htm 文件中添加如下的 vbs 攻击代码: 当使用低版本或安全策略配置不当的 IE 浏览器访问被 Ramnit 感染的 html 网页时,感染 html 网页的 vbs 攻击代码将被执行,创建并运行 Ramnit 病毒。继而 Ramnit 病毒会感染访问者本地计算机的 html 文件,从而形成蠕虫的自动...
Ramnit病毒分析
最新发布
好好学习,天天向上
06-25 2193
Ramnit病毒是一个相对古老的病毒,使用会感染系统内的exe和html文件,通过文件分发和U盘传播。
关于感染型病毒ramnit和runner的查杀记事
shenmifangke的专栏
02-23 6427
主要是在测试一些软件的时候不小心中毒的,当时还是拿虚拟机测试软件,但是复制出来的时候中毒了。 记得复制出来的时候,某杀软还提醒了一下,但是没当回事,轻易加白名单了,因为文件中有一个是自己写的批处理, 但是后来发现运行什么程序时都报毒,才发现是真中毒了。 看到大量的html文件居然被报毒,在这过年的节奏里出这种事可是大事,于是开始了自己“漫长”的两条杀毒奋战史
[样本分析] Ramnit感染型病毒
qq_42814021的博客
01-14 4066
文章目录样本信息样本行为详细分析样本行为 样本信息 MD5:ff5e1f27193ce51eec318714ef038bef 类型:exe32 分析工具:DIE、火绒剑、OD、x32dbg、IDA 样本行为 详细分析 拿到样本之后,先拖到DIE中看一下,发现有UPX壳。 直接脱壳: 脱壳成功后,用IDA打开,发现入口处是无意义的函数调用: 阅读其他分析文章发现是需要先解密然后再脱一次壳,暂时搞不太懂。 直接根据参考的分析文章上的EP脱壳,竟然成功了。之后有时间再看解密,先继续分析。 样本行为 入口处主
FxRamnit蠕虫病毒专杀.zip
07-01
Virus.Win32.Ramnit.X,Virus.Win32.Ramnit.a,Virus.Win32.Ramnit.b病毒专杀工具
Synaptics_蠕虫病毒感染解决方案.exe
08-20
Synaptics_蠕虫病毒感染解决方案
蠕虫病毒专杀工具(亲测可用)
11-07
蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。当这些新的被蠕虫入侵的计算机被控制之后,蠕虫会以这些计算机为宿主继续扫描并感染其他计算机,这种行为会一直延续下去。蠕虫使用这种递归的方法进行传播,按照指数增长的规律分布自己,进而及时控制越来越多的计算机。这个工具让饱受蠕虫侵扰的孩子们从蠕虫中解脱出来
Mysql数据表中的蠕虫复制使用方法
12-16
mysql蠕虫复制,简单来说就是将查询出来的数据不断的新增插入到指定的数据表中。通常情况,mysql蠕虫复制时用来测试表压力。 下面我们就结合简单的实例给大家介绍mysql数据表中蠕虫复制的使用。 首先我们可以先查询下已有的money表中的信息字段,表信息如下图。 蠕虫复制的基本语法: insert into + 数据表名 +字段列表/* + from 数据表名; 使用示例语句: insert into money select null,name,money from money; 然后我们使用蠕虫复制的命令语句,将money表中的数据进行复制,具体操作如下图。 这里我们就可以看到,
Virus.Win32.Ramnit.X专杀工具
07-09
Virus.Win32.Ramnit.X,Virus.Win32.Ramnit.a,Virus.Win32.Ramnit.b病毒专杀工具。
蠕虫扫描软件清理C盘蠕虫
11-23
蠕虫扫描软件
蠕虫病毒的查杀 (转)
cuiji1279的博客
10-14 252
蠕虫病毒的查杀 (转)[@more@]名字:W32/Sircam-A 别名:W32.Sircam.Worm@mm, W32/SirCam@mm, backdoor.SirCam 类别:win32蠕虫 coolinger翻译 说明...
蠕虫病毒html,HTML 感染 DropFileName = “svchost.exe” Ramnit 蠕虫病毒 查杀解决办法
weixin_42706667的博客
06-22 1106
参考:https://www.cnblogs.com/wuhairui/p/8297614.htmlhttp://www.guopingblog.com/post/100.html最近发现vps流量疯长 看了下统计 也没看到网站有大流量,查看源码才发现网页被添加了一段很长的js 内容大概是这样DropFileName=“svchost.exe”WriteData=“4D5A000020000...
解决virus:win32/ramnit.a病毒
m0_52980547的博客
05-30 2031
现在导航到C:C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service。在这里,通过在键盘上按下 Shift + Del来删除DetectionHistory文件夹。转到顶部的"查看"选项卡并勾选"隐藏项"选项。按下win+E打开文件资源管理器。
基于知识图谱的蠕虫病毒攻击检测方法
03-28
1.知识图谱构建 首先,需要构建一个蠕虫病毒攻击知识图谱。该知识图谱应包含以下内容: (1)蠕虫病毒攻击相关的知识点、实体和事件,如攻击方式、攻击目标、攻击路径等。 (2)蠕虫病毒攻击相关的安全技术和防御措施,如入侵检测系统、防火墙、反病毒软件等。 (3)蠕虫病毒攻击相关的数据源,如网络流量、日志文件等。 2.知识图谱应用 基于构建好的蠕虫病毒攻击知识图谱,可以开发一个基于知识图谱的蠕虫病毒攻击检测方法,具体步骤如下: (1)数据采集:从网络流量、日志文件等数据源中采集数据。 (2)实体抽取:利用自然语言处理技术对采集到的数据进行实体抽取,识别出与蠕虫病毒攻击相关的实体,如攻击方式、攻击目标、攻击路径等。 (3)关系抽取:利用自然语言处理技术对采集到的数据进行关系抽取,识别出与蠕虫病毒攻击相关的关系,如攻击目标与攻击路径之间的依赖关系。 (4)知识图谱匹配:将抽取出的实体和关系与蠕虫病毒攻击知识图谱进行匹配,找到与之对应的节点和边。 (5)异常检测:根据匹配结果,对数据进行异常检测,识别出可能存在蠕虫病毒攻击的数据。 (6)防御措施:根据检测结果,采取相应的防御措施,如封锁攻击路径、隔离攻击目标等。 3.优点和应用场景 基于知识图谱的蠕虫病毒攻击检测方法具有以下优点: (1)能够充分利用已有的蠕虫病毒攻击知识,提高检测的准确性和效率。 (2)能够自动化地从海量数据中发现异常行为,提高检测的效率。 (3)能够根据检测结果及时采取相应的防御措施,保障网络安全。 该方法适用于各种网络环境下的蠕虫病毒攻击检测,特别是在大规模网络环境下,更能发挥其优势。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值