Analysé par: Erika Bianca Mendoza   
 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    File infector

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild::
    Oui

  Overview

Voie d'infection: Infiziert Dateien

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Infiziert dadurch, dass der eigene Code an die Zielhostdateien angehängt wird.

Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Détails techniques

File size: 114,688 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 06 octobre 2011
Charge malveillante: Connects to URLs/IPs

Übertragungsdetails

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust die folgenden Dateien ein:

  • %User Temp%\{random}.sys - RTKT_RAMNIT.KC
  • [drive]\RECYCLER\{SID}\{random}.cpl - TROJ_RAMNIT.KC
  • [drive]\Copy of {number}.lnk - link to TROJ_RAMNIT.KC

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Schleust folgende nicht bösartigen Dateien ein:

  • %Application Data%\{random}.log

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Application Data%\{random}\{randomname}.exe
  • %User Temp%\{random}.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

  • %Application Data%\{random}
  • [drive]\RECYCLER

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

  • {GUID}

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = %Application Data%\{random}\{random name}.exe

Registriert die eigene eingeschleuste Komponente als Systemdienst, um zu gewährleisten, dass diese bei jedem Systemstart automatisch ausgeführt wird. Erstellt dafür die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Micorsoft Windows Service
Type = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Micorsoft Windows Service
Start = 4

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Micorsoft Windows Service
ErrorControl = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Micorsoft Windows Service
DisplayName = Micorsoft Windows Service

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Micorsoft Windows Service
DeleteFlag = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Micorsoft Windows Service
ImagePath = %Application Data%\{random}\{random name}.sys

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe,%Application Data%\{random}\{random name}.exe

Dateiinfektion

Infiziert die folgenden Dateien:

  • .EXE
  • .DLL

Infiziert dadurch, dass der eigene Code an die Zielhostdateien angehängt wird.

Verbreitung

Schleust Eigenkopien in alle an ein betroffenes System angeschlossene Wechsellaufwerke ein.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

{garbage}
[autorun]
action=Open
icon=%WinDir%\system32\shell32.dll,4
shellexecute={malware path and filename}
shell\explore\command={malware path and filename}
USEAUTOPLAY=1
shell\Open\command={malware path and filename}
{garbage}

  Solutions

Moteur de scan minimum: 9.200
First VSAPI Pattern File: 8.476.08
First VSAPI Pattern Release Date: 06 octobre 2011

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

HINWEISE ZUR AUTOMATISCHEN ENTFERNUNG

HINWEISE ZUR MANUELLEN ENTFERNUNG


Participez à notre enquête!