Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Ramnit.A.22
Entdeckt am:01/11/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:51.200 Bytes
MD5 Prfsumme:b8639c44126fb50de80354b95fad0153
VDF Version:7.10.06.22
IVDF Version:7.10.13.76 - Montag, 1. November 2010

 Allgemein Verbreitungsmethoden:
    Autorun Dateien
    Infiziert Dateien


Aliases:
   •  Kaspersky: Backdoor.Win32.IRCNite.bwx
   •  Sophos: Troj/Zbot-ADH
   •  Bitdefender: Trojan.Generic.5029516
   •  Panda: W32/Ramnit.B.drp
     GData: Trojan.Generic.5029516


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schdliche Dateien
Infiziert Dateien
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %Laufwerk%\RECYCLER\svchost.exe
   • %PROGRAM FILES%\Microsoft\WaterMark.exe



Es werden folgende Dateien erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%SYSDIR%\dmlconf.dat



Es versucht folgende Dateien auszufhren:

Dateiname:
   • %PROGRAM FILES%\Microsoft\WaterMark.exe


Dateiname:
   • %SYSDIR%\svchost.exe

 Registry Folgender Registryschlssel wird gendert:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • "Userinit"="%SYSDIR%\userinit.exe,,%PROGRAM FILES%\microsoft\watermark.exe"

 Dateiinfektion Art des Infektors:

Appender - Der Virus hngt am Ende der infizierten Datei seinen Code an.
Die folgende Section wird an die infizierte Datei angehngt:
   • .rmnet


Stealth - Verschleierung:
Keine Stealth-Techniken angewandt. - Der Virus modifiziert den OEP (Originaler Einsprungspunkt) der infizierten Datei, sodass dieser auf den virulenten Code zeigt.


Methode:

Dieser direct-action infector sucht aktiv nach Dateien.


Die folgenden Dateien sind infiziert:

Nach Dateiname:
   • exe (+52736) -> W32/Ramnit.A
   • dll (+52736) -> W32/Ramnit.A
   • html (+102882) -> HTML/Drop.Agent.AB

 Hintertr Kontaktiert Server:
Alle der folgenden:
   • zah**********.name:443 (TCP)
   • tyb**********.com:443 (TCP)


 Injektion Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • svchost.exe


 Diverses  Kontaktiert folgende Webseiten um auf eine vorhandene Internetverbindung zu berprfen:
   • google.com:80
   • bing.com:80
   • yahoo.com:80

Die Beschreibung wurde erstellt von Petre Galan am Montag, 11. April 2011
Die Beschreibung wurde geändert von Petre Galan am Montag, 11. April 2011

zurück . . . .