Komoly felfordulást képes okozni a Ramnit.B vírus

2
Kristóf Csaba
2010. november 12., 08:29
Nyomtatás
A Ramnit.B vírus sem a futtatható állományokat, sem a webes fájlokat nem kíméli akkor, amikor egy számítógépre felkerül.

A Ramnit.B vírus meglehetősen komoly felfordulást képes okozni a fertőzött rendszereken. Egyes esetekben olyan mértékű változtatásokat eszközöl, amelyek az alkalmazások vagy akár a Windows működésének megbénulásához vezethet. Ennek leginkább az az oka, hogy a vírus a C meghajtón minden exe, dll és html kiterjesztésű állományt felderít, majd azokhoz hozzáfűzi a saját kódját. Ezáltal rengeteg fájlban tud kárt tenni.

Az Isidor Biztonsági Központ jelentése szerint a Ramnit.B többnyire cserélhető meghajtókon keresztül terjed. Minden olyan cserélhető adattárolóra felmásolja a saját fájljait, amelyeket a felhasználó a fertőzött számítógépéhez csatlakoztat. Természetesen egy autorun.inf állományt is elhelyez a meghajtókon, amelynek segítségével biztosítja, hogy a lehetőségeihez képest automatikusan be tudjon töltődni egy másik számítógépen is.

Amikor a Ramnit.B vírus elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%ProgramFiles%\Microsoft\WaterMark.exe
%System%\dmlconf.dat

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\PCI\VEN_8086&DEV_24C2&SUBSYS_013A1028&REV_01\3&172e68dd&0&E8\Device Parameters\"DetectedLegacyBIOS" = "1"

3. A regisztrációs adatbázisban módosítja a következő bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%system%\userinit.exe,,c%ProgramFiles%\microsoft\watermark.exe"

4. Megfertőzi az svchost.exe folyamatot.

5. A C meghajtón található összes, exe, dll és html kiterjesztésű fájlhoz hozzáfűzi a saját (titkosított) kódját.

6. Csatlakozik egy távoli szerverhez.

7. Létrehozza az alábbi állományokat az összes cserélhető meghajtón:
%meghajtó betűjele%\RECYCLER\S-6-8-78-6074043183-3137731366-826674213-1246\PdCMovQB.exe
%meghajtó betűjele%\RECYCLER\S-6-8-78-6074043183-3137731366-826674213-1246\tYZldSpD.cpl
%meghajtó betűjele%\autorun.inf
%meghajtó betűjele%\Copy of Shortcut to (1).lnk
%meghajtó betűjele%\Copy of Shortcut to (2).lnk
%meghajtó betűjele%\Copy of Shortcut to (3).lnk
%meghajtó betűjele%\Copy of Shortcut to (4).lnk

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

1 hozzászólás

  1. kiss péter írta:
    2011-05-08 08:58:38

    T.Compterworld Érdeklődnék van olyan virus ami megtámadja ramot köszönettel

ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.