Ramnit的制造者已經(jīng)合并了多種功能,使其很難從受入侵的計(jì)算機(jī)上被清除�����。在安裝過(guò)程中����,它會(huì)將副本植入計(jì)算機(jī)的內(nèi)存,并將自身寫(xiě)入硬盤(pán)����。基于內(nèi)存的副本會(huì)積極地監(jiān)控硬盤(pán)���,如果檢測(cè)到基于硬盤(pán)的副本已經(jīng)被刪除或隔離�����,它會(huì)在硬盤(pán)上恢復(fù)一個(gè)新的副本��,以保持感染狀態(tài)����。
Ramnit的傳播途徑
盡管早期版本的Ramnit依賴(lài)文件感染作為途徑傳播,但當(dāng)今的攻擊者詭計(jì)多端���,通過(guò)多種手段入侵受害者的計(jì)算機(jī)���。近期Ramnit所使用的主要方法之一是通過(guò)在受入侵的網(wǎng)站和社交媒體頁(yè)面上的托管開(kāi)發(fā)工具包。此外�����,在公共FTP服務(wù)器上也發(fā)現(xiàn)了被分發(fā)的惡意軟件����。另一種可能入侵的途徑是通過(guò)安裝來(lái)自未知來(lái)源的軟件中捆綁的可能不需要的應(yīng)用程序。
受害者所在地區(qū)
Ramnit的受害者遍及世界各地���,大多數(shù)國(guó)家都發(fā)現(xiàn)了感染案例��。近期受到最大影響的國(guó)家包括印度�����、印度尼西亞����、越南��、孟加拉國(guó)�、美國(guó)和菲律賓。
圖:Ramnit感染地區(qū)
盡管隨著時(shí)間的推移�,受感染的計(jì)算機(jī)數(shù)量正在減少,但Ramnit僵尸網(wǎng)絡(luò)依然非常猖獗����。例如,在2014年11月���,賽門(mén)鐵克每日平均攔截大約6,700個(gè)新感染案例�。與2014年5月的每日8,000例相比����,這個(gè)數(shù)字已經(jīng)有所下降。
安全防護(hù)
賽門(mén)鐵克已經(jīng)發(fā)布了一款用于檢查Ramnit感染的工具��,能夠使用戶(hù)從受入侵的計(jì)算機(jī)上將其清除���。下載工具請(qǐng)?jiān)L問(wèn):http://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99
賽門(mén)鐵克和諾頓產(chǎn)品具備以下Ramnit檢測(cè)功能:
l 防病毒
§ W32.Ramnit
§ W32.Ramnit.B
§ W32.Ramnit!inf
§ W32.Ramnit.C!inf
§ W32.Ramnit.D!inf
§ W32.Ramnit!html
l 入侵防御系統(tǒng)
§ System Infected: Ramnit Zbot Web Inject Activity
更多有關(guān)安全管理員的入侵指示和詳細(xì)技術(shù)信息�,請(qǐng)?jiān)L問(wèn)賽門(mén)鐵克技術(shù)資料:W32.Ramnit analysis
