Ramnit的制造者已經(jīng)合并了多種功能,使其很難從受入侵的計(jì)算機(jī)上被清除����。在安裝過程中,它會(huì)將副本植入計(jì)算機(jī)的內(nèi)存���,并將自身寫入硬盤?���;趦?nèi)存的副本會(huì)積極地監(jiān)控硬盤,如果檢測到基于硬盤的副本已經(jīng)被刪除或隔離��,它會(huì)在硬盤上恢復(fù)一個(gè)新的副本����,以保持感染狀態(tài)。
Ramnit的傳播途徑
盡管早期版本的Ramnit依賴文件感染作為途徑傳播�����,但當(dāng)今的攻擊者詭計(jì)多端��,通過多種手段入侵受害者的計(jì)算機(jī)。近期Ramnit所使用的主要方法之一是通過在受入侵的網(wǎng)站和社交媒體頁面上的托管開發(fā)工具包�����。此外�����,在公共FTP服務(wù)器上也發(fā)現(xiàn)了被分發(fā)的惡意軟件�。另一種可能入侵的途徑是通過安裝來自未知來源的軟件中捆綁的可能不需要的應(yīng)用程序。
受害者所在地區(qū)
Ramnit的受害者遍及世界各地�,大多數(shù)國家都發(fā)現(xiàn)了感染案例。近期受到最大影響的國家包括印度�、印度尼西亞、越南�、孟加拉國、美國和菲律賓�。
圖:Ramnit感染地區(qū)
盡管隨著時(shí)間的推移,受感染的計(jì)算機(jī)數(shù)量正在減少����,但Ramnit僵尸網(wǎng)絡(luò)依然非常猖獗。例如����,在2014年11月����,賽門鐵克每日平均攔截大約6,700個(gè)新感染案例���。與2014年5月的每日8,000例相比����,這個(gè)數(shù)字已經(jīng)有所下降�����。
安全防護(hù)
賽門鐵克已經(jīng)發(fā)布了一款用于檢查Ramnit感染的工具��,能夠使用戶從受入侵的計(jì)算機(jī)上將其清除���。下載工具請(qǐng)?jiān)L問:http://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99
賽門鐵克和諾頓產(chǎn)品具備以下Ramnit檢測功能:
l 防病毒
§ W32.Ramnit
§ W32.Ramnit.B
§ W32.Ramnit!inf
§ W32.Ramnit.C!inf
§ W32.Ramnit.D!inf
§ W32.Ramnit!html
l 入侵防御系統(tǒng)
§ System Infected: Ramnit Zbot Web Inject Activity
更多有關(guān)安全管理員的入侵指示和詳細(xì)技術(shù)信息,請(qǐng)?jiān)L問賽門鐵克技術(shù)資料:W32.Ramnit analysis
