TROJ_RAMNIT.LBE
Trojan:Win32/Ramnit (Microsoft)
Windows
Tipo de malware
Trojan
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Detalles técnicos
Instalación
Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:
- %User Temp%\{random}.exe
- %AppDataLocal%\{random folder name}\{random file name}.exe
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Infiltra los archivos siguientes:
- %All Users Profile%\Application Data\{random}.log
- %AppDataLocal%\{random}.log
Agrega los procesos siguientes:
- svchost.exe
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random file name} = "%AppDataLocal%\{random folder name}\{random file name}.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random file name} = "%User Temp%\{random file name}.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%AppDataLocal%\{random folder name}\{random file name}.exe"
Soluciones
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Identificar y eliminar los archivos detectados como TROJ_RAMNIT.LBE mediante el disco de inicio o la Consola de recuperación
Step 3
Puesto que este malware se basa en la tecnología de rootkits, es posible que su detección y eliminación mediante los métodos de modo normal y seguro no lo elimine del todo. Este procedimiento reinicia el sistema mediante la Consola de recuperación de Windows.
- Introduzca el CD de instalación de Windows en la unidad de CD y pulse el botón de reinicio.
- Cuando se lo solicite el sistema, pulse cualquier tecla para arrancar desde la unidad de CD.
- En el menú principal, escriba la letra r para ir a la Consola de recuperación.
- Escriba la unidad que contiene Windows (normalmente C:) y pulse Intro.
- En el cuadro de entrada, escriba lo siguiente y pulse Intro:
Step 4
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random file name} = "%AppDataLocal%\{random folder name}\{random file name}.exe"
- {random file name} = "%AppDataLocal%\{random folder name}\{random file name}.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random file name} = "%User Temp%\{random file name}.exe"
- {random file name} = "%User Temp%\{random file name}.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = "%AppDataLocal%\{random folder name}\{random file name}.exe"
- Userinit = "%AppDataLocal%\{random folder name}\{random file name}.exe"
Step 5
Buscar y eliminar este archivo
Rellene nuestra encuesta!