僵尸网络Ramnit家族分析

时间 ：  2017年05月22日  来源：  安天

安天追影小组近日在梳理网络安全事件时，发现一个Ramnit僵尸网络家族，该木马运行于Windows平台，首次出现于2010年，经分析发现该病毒作者借鉴ZeuS源代码进行修改，修改后生成的病毒得到迅速的扩散，在短短三四年时间，木马感染超过百万用户，直至2015年，通过一些执法机构、ISP和安全公司的共同努力，追溯到了大部分控制服务器，才使得Ramnit病毒得到遏止，但仍有少部分木马存活下来，在该病毒被遏制9个月后，监控设备发现大量Ramnit家族传播证据，表明Ramnit家族病毒再次卷土重来。

分析介绍：

安天追影团队对该家族MD为“0784E53B2F19069AE4101440C93FB311”的样本进行分析，分析发现：
1:Ramnit家族具有较完善的窃密模块
该样本监控网页浏览活动，检测特定网页，主要是针对银行网页，提取cookie，因获取到cookie后则可不登录直接对网页进行操作，故对银行网站危害较大。该样本还具有扫描计算机的硬盘的功能，并从中窃取文件，同时还能捕获FTP登陆凭证及为攻击者提供远程控制权限。
2:Ramnit家族具有持久威胁
相对于普通木马，Ramnit家族病毒具有更高的潜伏性，木马运行后会在系统目录中释放大量复制体，并具有自启动、禁用高版本系统的权限管理、伪装成系统进程等能力，木马还会将自身副本植入计算机内存，通过对系统进程的数据替换隐藏，达到潜伏在系统中不易被杀软查杀的目的。
3:Ramint传播途径多样
该家族样本早期可通过文件感染作为传播途径、随后通过在受入侵的网站和社交媒体页面上托管开发工具包、在公共FTP服务器放置恶意软件等方式进行传播。

总结：

经过对Ramnit家族的分析发现，该家族已经危及全球范围，损坏广大用户的利益。安天追影团队提醒广大网络用户，要提高自身的安全意识，对于来源不明的邮件，不要轻易打开，禁用办公软件宏功能，及时更新系统最新补丁，安装杀毒软件，对于一些“未知来源程序”中所谓的杀软误报不要轻信，定时查毒，备份重要文件，以防止感染木马，损害自身利益。

MD5:

0784E53B2F19069AE4101440C93FB311

参考链接:

https://www.bleepingcomputer.com/news/security/ramnit-botnet-comeback-continues-in-2017/