Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Ramnit.A.22
Scoperto:01/11/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:51.200 Byte
Somma di controllo MD5:b8639c44126fb50de80354b95fad0153
Versione VDF:7.10.06.22
Versione IVDF:7.10.13.76 - lunedì 1 novembre 2010

 Generale Metodi di propagazione:
   • Funzione di esecuzione automatica
   • Infetta file


Alias:
   •  Kaspersky: Backdoor.Win32.IRCNite.bwx
   •  Sophos: Troj/Zbot-ADH
   •  Bitdefender: Trojan.Generic.5029516
   •  Panda: W32/Ramnit.B.drp
   •  GData: Trojan.Generic.5029516


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Infetta file
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %unità disco%\RECYCLER\svchost.exe
   • %PROGRAM FILES%\Microsoft\WaterMark.exe



Vengono creati i seguenti file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

%SYSDIR%\dmlconf.dat



Prova ad eseguire i seguenti file:

– Nome del file:
   • %PROGRAM FILES%\Microsoft\WaterMark.exe


– Nome del file:
   • %SYSDIR%\svchost.exe

 Registro Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuovo valore:
   • "Userinit"="%SYSDIR%\userinit.exe,,%PROGRAM FILES%\microsoft\watermark.exe"

 File virale Tipo di infettore:

Appender: il codice principale del virus viene aggiunto alla fine del file infetto.
– La seguente sezione è stata aggiunta al file infetto:
   • .rmnet


Stealth:
Non viene utilizzata alcuna tecnica di nascosto. Modifica l'OEP (Original Entry Point) del file infetto per dirigersi al codice del virus.


Metodo:

Questo virus ad azione diretta ricerca attivamente dei file.


I seguenti file sono infetti:

Per tipo di file:
   • exe (+52736) -> W32/Ramnit.A
   • dll (+52736) -> W32/Ramnit.A
   • html (+102882) -> HTML/Drop.Agent.AB

 Backdoor Contatta il server:
Tutti i seguenti:
   • zah**********.name:443 (TCP)
   • tyb**********.com:443 (TCP)


 Come il virus si inserisce nei processi – Si inserisce come thread remoto in un processo.

    Nome del processo:
   • svchost.exe


 Varie  Verifica la presenza di una connessione ad internet contattando i seguenti siti web:
   • google.com:80
   • bing.com:80
   • yahoo.com:80

Descrizione inserita da Petre Galan su lunedì 11 aprile 2011
Descrizione aggiornata da Petre Galan su lunedì 11 aprile 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.