Analyse von: Pearl Charlaine Espejo   
 

Virus.Win32.Ramnit (Ikarus); Win32/Ramnit.BV (ESET-NOD32); Virus.Win32.Ramnit.BV (Baidu-International)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 live casino online L?sungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    File infector

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Nein

  • In the wild::
    Ja

  ?berblick

Infektionsweg: Infiziert Dateien

Die Injizierung erfolgt in alle laufenden Prozesse, um im Speicher resident zu verbleiben.

L?scht Dateien, so dass Programme und Anwendungen nicht ordnungsgem?? ausgeführt werden. L?scht Registrierungsschlüssel von Antiviren-Programmen. Dadurch kann diese Malware ihre Routinen unentdeckt von Antiviren-Programmen ausführen.

Führt bestimmte Befehle aus, die sie extern von einem b?swilligen Benutzer erh?lt. Dadurch sind der betroffene Computer und auf ihm gespeicherte Daten st?rker gef?hrdet. Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen.

  Technische Details

Dateigr??e: 338,944 bytes
Dateityp: EXE
Speicherresiden: Ja
Erste Muster erhalten am: 26 November 2015
Schadteil: Compromises system security, Connects to URLs/IPs, Steals information, Modifies system registry, Drops files

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %User Temp%\{random filename 1}.exe
  • %AppDataLocal%\{random folder name}\{random filename 2}.exe
  • %User Startup%\{random filename 3}.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Schleust die folgenden Dateien ein:

  • %AppDataLocal%\{random folder name}\px{number}.tmp - deleted afterwards
  • %User Temp%\~TM{numbers}.tmp – deleted afterwards

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

  • svchost.exe

Erstellt die folgenden Ordner:

  • %AppDataLocal%\{random folder name}

Die Injizierung erfolgt in alle laufenden Prozesse, um im Speicher resident zu verbleiben.

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

  • {GUID}

Autostart-Technik

Fügt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random filename 2} = "%AppDataLocal%\{random folder name}\{random filename 2}.exe"

?ndert die folgenden Registrierungseintr?ge, um bei jedem Systemstart automatisch ausgeführt zu werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,,%AppDataLocal%\{random folder name}\{random filename 2}.exe"

(Note: The default value data of the said registry entry is "%System%\userinit.exe,".)

Schleust die folgenden Dateien in den benutzerspezifischen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

  • %User Startup%\{random filename 3}.exe

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Andere System?nderungen

L?scht die folgenden Dateien:

  • %User Temp%\{random filename 1}.exe:Zone.Identifier

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Registrierungseintr?ge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
jfghdug_ooetvtgk = "TRUE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UacDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = "1"

?ndert die folgenden Registrierungseintr?ge:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"

(Note: The default value data of the said registry entry is "2".)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\MpsSvc
Start = "4"

(Note: The default value data of the said registry entry is "2".)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinDefend
Start = "4"

(Note: The default value data of the said registry entry is "2".)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"

(Note: The default value data of the said registry entry is "2".)

L?scht die folgenden Registrierungsschlüssel von Antiviren- und Sicherheitsanwendungen:

HKEY_LOCAL_MACHINE\Microsoft\Windows\
CurrentVersion\Run
Windows Defender = "{windows defender path}"

L?scht die folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot

Dateiinfektion

Infiziert die folgenden Dateitypen:

  • EXE
  • DLL

Infiziert die folgenden Dateitypen in Freigabenetzwerken, um sich zu verbreiten:

  • EXE
  • DLL

Backdoor-Routine

Führt die folgenden Befehle eines externen, b?swilligen Benutzers aus:

  • Download and execute files
  • Capture screenshots
  • Update itself
  • Retrieve stolen cookies
  • Remove cookies
  • Send stolen information
  • Shut Down Operating System

Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.

  • https://{random generated domain}.com

Entwendete Daten

Speichert die entwendeten Informationen in der folgenden Datei:

  • %All Users Profile%\Application Data\{random filename 4}.log
  • %AppDataLocal%\{random filename 5}.log - number of logs varies, contain encrypted data

  L?sungen

Mindestversion der Scan Engine: 9.800
Erste VSAPI Pattern-Datei: 12.182.04
Erste VSAPI Pattern ver?ffentlicht am: 30 November 2015
VSAPI OPR Pattern-Version: 12.183.00
VSAPI OPR Pattern ver?ffentlicht am: 01 Dezember 2015

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Im abgesicherten Modus neu starten

[ learnMore ]

Step 4

Diesen Registrierungswert l?schen

[ learnMore ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • {random filename 2} = "%AppDataLocal%\{random folder name}\{random filename 2}.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
    • jfghdug_ooetvtgk = "TRUE"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • EnableLUA = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • UacDisableNotify = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • AntiVirusOverride = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • AntiVirusDisableNotify = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • FirewallDisableNotify = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • FirewallOverride = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • UpdatesDisableNotify = "1"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    • EnableFirewall = "0"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    • DoNotAllowExceptions = "0"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    • DisableNotifications = "1"

Step 5

Diesen ge?nderten Registrierungswert wiederherstellen

[ learnMore ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • From: Userinit = "%System%\userinit.exe,,%AppDataLocal%\{random folder name}\{random filename 2}.exe"
      To: Userinit = "%System%\userinit.exe,"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
    • From: Start = "4"
      To: Start = "2"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    • From: Start = "4"
      To: Start = "2"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc
    • From: Start = "4"
      To: Start = "2"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend
    • From: Start = "4"
      To: Start = "2"

Step 6

Gel?schte Registrierungsschlüssel wiederherstellen

  1. Doppelklicken Sie im linken Fensterbereich des Registrierungseditors auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
    Control>SafeBoot>Minimal
  2. Klicken Sie mit der rechten Maustaste auf den Schlüssel, und w?hlen Sie 'Neu > Schlüssel'. ?ndern Sie den Wert des neuen Schlüssels in:
    {4D36E967-E325-11CE-BFC1-08002BE10318}
  3. Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie '?ndern'. ?ndern Sie den Wert dieses Eintrags in:
    DiskDrive
  4. Doppelklicken Sie im linken Fensterbereich auf:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
    Control>SafeBoot>Network
  5. Klicken Sie mit der rechten Maustaste auf den Schlüssel, und w?hlen Sie 'Neu>Schlüssel'. ?ndern Sie den Wert des neuen Schlüssels in:
    {4D36E967-E325-11CE-BFC1-08002BE10318}
  6. Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie '?ndern'. ?ndern Sie den Wert dieses Eintrags in:
    DiskDrive
  7. Schlie?en Sie den Registrierungseditor.

Step 7

Diese Dateien suchen und l?schen

[ learnMore ]
M?glicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.
  • %All Users Profile%\Application Data\{random filename 4}.log
  • %AppDataLocal%\{random filename 5}.log
  • %AppDataLocal%\{random folder name}\px{number}.tmp
  • %User Temp%\~TM{numbers}.tmp
DATA_GENERIC_FILENAME_1
  • W?hlen Sie im Listenfeld lt;i>Suchen in die Option Arbeitsplatz, und drücken Sie die Eingabetaste.
  • Markieren Sie die gefundene Datei, und drücken Sie UMSCHALT+ENTF, um sie endgültig zu l?schen.
  • Wiederholen Sie die Schritte 2 bis 4 für die übrigen Dateien:
      • %All Users Profile%\Application Data\{random filename 4}.log
      • %AppDataLocal%\{random filename 5}.log
      • %AppDataLocal%\{random folder name}\px{number}.tmp
      • %User Temp%\~TM{numbers}.tmp

    • Step 8

    Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt nach Dateien, die als PE_RAMNIT.RE-O entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.

    Step 9

    Diesen Sicherheits-Patch herunterladen und übernehmen Verwenden Sie diese Produkte erst, wenn die entsprechenden Patches installiert wurden. live casino online empfiehlt Benutzern, wichtige Patches nach der Ver?ffentlichung sofort herunterzuladen.

    Zugeh?rige Datei