木马病毒清不掉：顽固木马清理专题之感染型病毒影响范围最广的病毒Ramnit

木马病毒清不掉：顽固木马清理专题之感染型病毒影响范围最广的病毒Ramnit遍历磁盘中的html文件，并判断最后9个字节是否为</SCRIPT>，若不是则在文件尾部插入一段恶意javascript代码，代码的功能是将Ramnit感染源释放到磁盘并执行：此外，Ramnit会通过感染可移动设备将病毒传播到其他计算机上，当遍历到可移动设备时，会先通过判断autorun.inf文件的前三个字节是否为”RmN”来确定设备是否已经被感染，随之将病毒拷贝到可移动设备下，并添加autorun.inf自动运行病毒。

Ramnit病毒最早于2010年被发现，通过感染可执行文件和html文件传播。后续的变种中被增加了与C&C通讯的功能，从而使攻击者可以控制Ramnit感染的僵尸网络。

Ramnit是迄今未知感染用户最多，影响范围最广的感染型病毒，在信任区存量木马中占比超过20%。而且该病毒也是最令用户困扰的病毒之一，根据我们统计，从2010年起，关于Ramnit病毒杀不干净的反馈在各安全论坛中持续存在。

本文中，我们以用户反馈最多的变种Ramnit.X为例，分析其感染流程。Ramnit会感染可执行文件和html文件：

遍历磁盘，当发现可执行文件时，通过新增节区的方式，将恶意代码植入可执行文件中，并将程序入口点修改为病毒代码，关键逻辑如下：

遍历磁盘中的html文件，并判断最后9个字节是否为</SCRIPT>，若不是则在文件尾部插入一段恶意javascript代码，代码的功能是将Ramnit感染源释放到磁盘并执行：

此外，Ramnit会通过感染可移动设备将病毒传播到其他计算机上，当遍历到可移动设备时，会先通过判断autorun.inf文件的前三个字节是否为”RmN”来确定设备是否已经被感染，随之将病毒拷贝到可移动设备下，并添加autorun.inf自动运行病毒。