TROJ_RAMNIT.IZ
Mal/Azber-A (Sophos), W32/Azbreg.BOA!tr (Fortinet), Backdoor.Win32.Azbreg (Ikarus), Trojan:Win32/Ramnit.A (Microsoft), variant of Win32/Ramnit.AE.Gen virus (NOD32)
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):
- {All Users' Profile}\Application Data\{random 1}.log
- %Application Data%\{random 2} .log
- %Application Data%\{random 3} .log
- %User Temp%\{random}.sys
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).)Crea las siguientes copias de sí mismo en el sistema afectado:
- %Application Data%\{random folder name}\{random file name}.exe
- %User Temp%\{random file name}.exe
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).)Crea las carpetas siguientes:
- %Application Data%\{random folder name}
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%Application Data%\{random folder name}\{random file name}.exe"
Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,,%Application Data\{random folder name}\{random file name}.exe"
(Note: The default value data of the said registry entry is "%System%\userinit.exe,".)
Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio de Windows para permitir su ejecución automática cada vez que se inicia el sistema:
- %Start Menu%\Programs\Startup\{random file name}.exe
(Nota: %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).
)Otras modificaciones del sistema
Agrega las siguientes claves de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
Type = "1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
Start = "3"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
DisplayName = "Micorsoft Windows Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service\Security
"Security" =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
DeleteFlag = "1"
Otros detalles
Agrega y ejecuta los servicios siguientes:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
ImagePath = "\??\%User Temp%\{random}.sys"