Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/Ramnit.A.22
Descoperit pe data de:01/11/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:51.200 Bytes
MD5:b8639c44126fb50de80354b95fad0153
Versiune VDF:7.10.06.22
Versiune IVDF:7.10.13.76 - luni, 1 noiembrie 2010

 General Metode de raspandire:
    Functia autorun
    Infecteaza fisiere


Alias:
   •  Kaspersky: Backdoor.Win32.IRCNite.bwx
   •  Sophos: Troj/Zbot-ADH
   •  Bitdefender: Trojan.Generic.5029516
   •  Panda: W32/Ramnit.B.drp
     GData: Trojan.Generic.5029516


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
Infecteaza fisiere
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %unitate disc%\RECYCLER\svchost.exe
   • %PROGRAM FILES%\Microsoft\WaterMark.exe



Sunt create fisierele:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%SYSDIR%\dmlconf.dat



Incearca sa execute urmatoarele fisiere:

Numele fisierului:
   • %PROGRAM FILES%\Microsoft\WaterMark.exe


Numele fisierului:
   • %SYSDIR%\svchost.exe

 Registrii sistemului Urmatoarea cheie din registri este modificata:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Noua valoare:
   • "Userinit"="%SYSDIR%\userinit.exe,,%PROGRAM FILES%\microsoft\watermark.exe"

 Infectie de fisiere Tip de infector:

Appender - Codul virusului este adaugat la sfarsitul fisierului infectat.
Este adaugata urmatoarea sectiune fisierului infectat:
   • .rmnet


Camuflaj:
Nu utilizeaza tehnici de camuflaj. Modifica Entry Point-ul original al fisierului infectat pentru a-l face sa indice spre codul malitios.


Metoda:

Virusul cauta in mod activ fisiere pe care sa le infecteze apoi isi termina executia.


Urmatoarele fisiere sunt infectate:

Dupa tipul fisierelor:
   • exe (+52736) -> W32/Ramnit.A
   • dll (+52736) -> W32/Ramnit.A
   • html (+102882) -> HTML/Drop.Agent.AB

 Backdoor Servere contactate:
Urmatoarele:
   • zah**********.name:443 (TCP)
   • tyb**********.com:443 (TCP)


 Injectarea codului malware in alte procese Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • svchost.exe


 Alte informatii  Cauta o conexiune Internet, contactand urmatoarele site-uri web:
   • google.com:80
   • bing.com:80
   • yahoo.com:80

Description inserted by Petre Galan on Monday, April 11, 2011
Description updated by Petre Galan on Monday, April 11, 2011

Back . . . .