Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Ramnit.A.22
La date de la découverte:01/11/2010
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:51.200 Octets
Somme de contrôle MD5:b8639c44126fb50de80354b95fad0153
Version VDF:7.10.06.22
Version IVDF:7.10.13.76 - lundi 1 novembre 2010

 Général Méthodes de propagation:
   • Fonctionnalité d'exécution automatique
   • Contamine les fichiers


Les alias:
   •  Kaspersky: Backdoor.Win32.IRCNite.bwx
   •  Sophos: Troj/Zbot-ADH
   •  Bitdefender: Trojan.Generic.5029516
   •  Panda: W32/Ramnit.B.drp
   •  GData: Trojan.Generic.5029516


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Contamine les fichiers
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %lecteur%\RECYCLER\svchost.exe
   • %PROGRAM FILES%\Microsoft\WaterMark.exe



Les fichiers suivants sont créés:

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%SYSDIR%\dmlconf.dat



Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • %PROGRAM FILES%\Microsoft\WaterMark.exe


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\svchost.exe

 Registre La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • "Userinit"="%SYSDIR%\userinit.exe,,%PROGRAM FILES%\microsoft\watermark.exe"

 Infecteur Type de contamination :

Appender - Le code principal du virus est ajouté à la fin du fichier contaminé.
– La section suivante est ajoutée au fichier contaminé :
   • .rmnet


Furtif :
Aucune technique de furtivité n'est utilisée. Le virus modifie l'OEP (Original Entry Point) du fichier contaminé pour diriger vers le code du virus.


Méthode:

Cet infecteur direct cherche activement des fichiers pour les infecter


Les fichiers suivants sont contaminés :

Par type de fichier :
   • exe (+52736) -> W32/Ramnit.A
   • dll (+52736) -> W32/Ramnit.A
   • html (+102882) -> HTML/Drop.Agent.AB

 Porte dérobée Serveur de contact:
Tous les suivants:
   • zah**********.name:443 (TCP)
   • tyb**********.com:443 (TCP)


 L'injection du code viral dans d'autres processus – Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Nom du processus :
   • svchost.exe


 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant les sites web suivants:
   • google.com:80
   • bing.com:80
   • yahoo.com:80

Description insérée par Petre Galan le lundi 11 avril 2011
Description mise à jour par Petre Galan le lundi 11 avril 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.