僵尸网络Ramnit家族分析

安天追影小组近日在梳理网络安全事件时,发现一个Ramnit僵尸网络家族,该木马运行于Windows平台,首次出现于2010年,经分析发现该病毒作者借鉴ZeuS源代码进行修改,修改后生成的病毒得到迅速的扩散,在短短三四年时间,木马感染超过百万用户,直至2015年,通过一些执法机构、ISP和安全公司的共同努力,追溯到了大部分控制服务器,才使得Ramnit病毒得到遏止,但仍有少部分木马存活下来,在该病毒被遏制9个月后,监控设备发现大量Ramnit家族传播证据,表明Ramnit家族病毒再次卷土重来。

分析介绍:

安天追影团队对该家族MD为“0784E53B2F19069AE4101440C93FB311”的样本进行分析,分析发现:
1:Ramnit家族具有较完善的窃密模块
该样本监控网页浏览活动,检测特定网页,主要是针对银行网页,提取cookie,因获取到cookie后则可不登录直接对网页进行操作,故对银行网站危害较大。该样本还具有扫描计算机的硬盘的功能,并从中窃取文件,同时还能捕获FTP登陆凭证及为攻击者提供远程控制权限。
2:Ramnit家族具有持久威胁
相对于普通木马,Ramnit家族病毒具有更高的潜伏性,木马运行后会在系统目录中释放大量复制体,并具有自启动、禁用高版本系统的权限管理、伪装成系统进程等能力,木马还会将自身副本植入计算机内存,通过对系统进程的数据替换隐藏,达到潜伏在系统中不易被杀软查杀的目的。
3:Ramint传播途径多样
该家族样本早期可通过文件感染作为传播途径、随后通过在受入侵的网站和社交媒体页面上托管开发工具包、在公共FTP服务器放置恶意软件等方式进行传播。

总结:

经过对Ramnit家族的分析发现,该家族已经危及全球范围,损坏广大用户的利益。安天追影团队提醒广大网络用户,要提高自身的安全意识,对于来源不明的邮件,不要轻易打开,禁用办公软件宏功能,及时更新系统最新补丁,安装杀毒软件,对于一些“未知来源程序”中所谓的杀软误报不要轻信,定时查毒,备份重要文件,以防止感染木马,损害自身利益。

MD5:

0784E53B2F19069AE4101440C93FB311

参考链接:

https://www.bleepingcomputer.com/news/security/ramnit-botnet-comeback-continues-in-2017/