Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:TR/Ramnit.A.22
Обнаружен:01/11/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:51.200 байт.
Контрольная сумма MD5:b8639c44126fb50de80354b95fad0153
Версия VDF:7.10.06.22
Версия IVDF:7.10.13.76 - понедельник, 1 ноября 2010 г.

 Общее Методы распространения:
   • Функция автозапуска
   • Инфицирует файлы


Псевдонимы (аliases):
   •  Kaspersky: Backdoor.Win32.IRCNite.bwx
   •  Sophos: Troj/Zbot-ADH
   •  Bitdefender: Trojan.Generic.5029516
   •  Panda: W32/Ramnit.B.drp
   •  GData: Trojan.Generic.5029516


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Инфицирует файлы
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %Диск%\RECYCLER\svchost.exe
   • %PROGRAM FILES%\Microsoft\WaterMark.exe



Создаются следующие файлы:

%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

%SYSDIR%\dmlconf.dat



Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • %PROGRAM FILES%\Microsoft\WaterMark.exe


– Имя файла:
   • %SYSDIR%\svchost.exe

 Реестр Изменяется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Новое значение:
   • "Userinit"="%SYSDIR%\userinit.exe,,%PROGRAM FILES%\microsoft\watermark.exe"

 Инфицирование файлов Тип инфектора:

Добавление в конец – основной код вируса добавляется в конец инфицированного файла.
– В инфицированный файл добавлен следующий раздел:
   • .rmnet


Техника достижения невидимости:
При этом не используются техники достижения невидимости. Вирус заменяет ИТВ (исходную точку входа) инфицированного файла на точку входа в код вируса.


Метод:

Этот вирус занят активным поиском файлов.


Следующие файлы инфицированы:

По типу файла:
   • exe (+52736) -> W32/Ramnit.A
   • dll (+52736) -> W32/Ramnit.A
   • html (+102882) -> HTML/Drop.Agent.AB

 Backdoor Устанавливает соединение с сервером
Все последующие:
   • zah**********.name:443 (TCP)
   • tyb**********.com:443 (TCP)


 Инфицирование – Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • svchost.exe


 Разное  Связывается со следующими веб-сайтами для проверки установленного Интернет-соединения:
   • google.com:80
   • bing.com:80
   • yahoo.com:80

Описание добавил Petre Galan в(о) понедельник, 11 апреля 2011 г.
Описание обновил Petre Galan в(о) понедельник, 11 апреля 2011 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.