Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Ramnit.A.22
Data em que surgiu:01/11/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De médio a elevado
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:51.200 Bytes
MD5 checksum:b8639c44126fb50de80354b95fad0153
Versão VDF:7.10.06.22
Versão IVDF:7.10.13.76 - segunda-feira, 1 de novembro de 2010

 Vulgarmente Meios de transmissão:
   • Recurso de execução automática
   • Arquivos infectados


Alias:
   •  Kaspersky: Backdoor.Win32.IRCNite.bwx
   •  Sophos: Troj/Zbot-ADH
   •  Bitdefender: Trojan.Generic.5029516
   •  Panda: W32/Ramnit.B.drp
   •  GData: Trojan.Generic.5029516


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Arquivos infectados
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %unidade%\RECYCLER\svchost.exe
   • %PROGRAM FILES%\Microsoft\WaterMark.exe



São criados os seguintes ficheiros:

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%SYSDIR%\dmlconf.dat



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %PROGRAM FILES%\Microsoft\WaterMark.exe


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\svchost.exe

 Registry (Registo do Windows) O seguinte valor do registo é alterado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor recente:
   • "Userinit"="%SYSDIR%\userinit.exe,,%PROGRAM FILES%\microsoft\watermark.exe"

 Infecção de ficheiros Tipo de infector:

Appender - O código principal do vírus é adicionado ao final do arquivo infectado.
– A seção a seguir foi adicionada ao arquivo infectado:
   • .rmnet


Furto:
Nenhuma técnica de furto é usada. Ele modifica o OEP (Original Entry Point, Ponto de entrada original) do arquivo infectado para apontar para o código do vírus.


Forma:

Este atacante pesquisa ficheiros activamente.


Os arquivos a seguir estão infectados:

Por tipo de arquivo:
   • exe (+52736) -> W32/Ramnit.A
   • dll (+52736) -> W32/Ramnit.A
   • html (+102882) -> HTML/Drop.Agent.AB

 Backdoor Contacta o servidor:
Seguintes:
   • zah**********.name:443 (TCP)
   • tyb**********.com:443 (TCP)


 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • svchost.exe


 Informações diversas  Procura uma ligação de internet contactando um dos seguintes web sites:
   • google.com:80
   • bing.com:80
   • yahoo.com:80

Descrição enviada por Petre Galan em segunda-feira, 11 de abril de 2011
Descrição atualizada por Petre Galan em segunda-feira, 11 de abril de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.