Ramnit fait son retour: un « vrai » virus…

Le virus Ramnit aka W32/Cosmu.A / Win32:Quolko fait son retour dont voici quelques topics :

http://forum.malekal.com/w32ramnit-apparition-interpreteur-commande-t34478.html
http://forum.malekal.com/virus-win32-ramnit-win32-ramnit-t34476.html
http://forum.malekal.com/comment-eradiquer-w32-ramnit-t34477.html 

Un retour qui aurait touché 800 000 machines et permis le vol de 45 0000 comptes Facebook.
Quand on dit Virus, c’est au sens strict du terme, à savoir que ce malware infecte bien les executables soit donc les fichiers .exe et .dll.
Ce dernier a la particularité d’ajouter aussi un executable au démarrage avec un nom aléatoire – exemple avec HijackThis:

O4 - HKCU\..\Run: [MtyVqlxo] C:\Users\biotope\AppData\Local\enhjglox\mtyvqlxo.exe
O4 - Startup: mtyvqlxo.exe

ou par exemple avec une ligne F2 ce qui signifie que ce dernier va être actif en mode sans échec :

Ceci a l’avantage de donner l’information si le virus est actif ou non sur le système.

Ci-dessous une capture du processus GMER  dont le fichier v4omn0r8.exe a été infecté par Ramnit.
On voit qu’au lancement de ce dernier sur un système où Ramnit n’est pas actif, il lance un second processus qui va dropper l’infection Ramnit sur le système.
Ce dernier va infecter d’autres executables sur le système, qui si lancés sur un autre système sain va donc l’infecter.

Désinfection et suppression de Ramnit

(Pensez à lire la page 2 qui traite de la désinfection).

Quelques informations générales pour tordre le coup à des idées reçues,  que l’on voit souvent concernant ce type de malwares. Il n’y a pas besoin de faire un formatage de bas niveau ou d’utiliser des utilisateurs spéciaux (ex Killdisc) pour formater et réinstaller Windows – on voyait souvent ce genre de mauvais conseils avec le virus Virut.
Si vous êtes réinfecté après réinstallation de Windows c’est probablement parce que vous avez exécuté sans le savoir un fichier qui était infecté par le virus.

Après la réinstallation de Windows la première chose a faire est d’installer un antivirus en le téléchargeant depuis Internet – ne pas réinstaller à partir d’un setup se trouvant sur une autre partition ou un disque dur externe qui peuvent être potentiellement infecté.

Dr. Web s’avère en général assez bon pour désinfecter notamment avec Dr. Web CureIT qui permet un nettoyage gratuit.
Il est donc plutôt conseillé d’utiliser la version CD Live afin de démarrer sur un OS alternatif et de scanner depuis cet OS alternatif. Le gros avantage étant qu’on ne scanne pas depuis un système où le virus est actif en mémoire et peux à tout moment réinfecter un exécutable pour relancer l’infection, ce qui peux, au final, rendre la désinfection impossible.
Voir peux-être aussi du côté de : Kaspersky Removal Tool

Enfin, selon l’étendu des dégâts et si les antivirus ne parviennent pas à réparer/désinfecter les exécutables infectés sans les endommager, vous risquez, si Windows est touché, d’avoir un système non fonctionnel.
La réinstallation/réparation de Windows est alors obligatoire => Windows : récupérer son système
Dans le cas des programmes installés, leurs réinstallations peux alors être necessaires à faire bien sûr quand vous êtes certains que le système est clean.

Bref, vous l’aurez compris, c’est pas forcément simple de s’en défaire en ayant au final un système fonctionnel.
Le passage par la case formatage est parfois obligatoire selon si le virus est coriace.

Plus d’informations sur la désinfection en page suivante. 

EDIT Mi-Décembre : Fonctionnement de Ramnit

Vu sur le site de tracking : http://www3.malekal.com/malwares/index.php

La détection Lebag est en fait Ramnit.
Ici le dropper en action, deux processus svchost.exe sont lancés.
Un fichier avec un nom aléatoire est droppé dans un répertoire avec un nom aléatoire dans le dossier Application Data de Local Settings

Un fichier avec un nom aléatoire dans %TEMP%

et un driver est chargé depuis %TEMP%

Le fichier est masqué depuis l’explorateur :Les clefs de démarrage – on notera l’ajout d’un proxy :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888;https=127.0.0.1:8888;
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <-loopback>;
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\Documents and Settings\Mak\Local Settings\Application Data\xftwfcli\glljpfuy.exe
O4 - HKCU\..\Run: [GllJpfuy] C:\Documents and Settings\Mak\Local Settings\Application Data\xftwfcli\glljpfuy.exe

La détection du fichier :<

File name: Ramnit
Submission date: 2011-12-18 21:56:16 (UTC)
Current status: finished
Result: 13/ 43 (30.2%)	VT Community

Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.12.18.00	2011.12.18	Trojan/Win32.Lebag
BitDefender	7.2	2011.12.18	Gen:Variant.Kazy.49130
ByteHero	1.0.0.1	2011.12.07	Trojan.Win32.Heur.Gen
Comodo	11004	2011.12.18	Heur.Packed.Unknown
DrWeb	5.0.2.03300	2011.12.18	Trojan.Rmnet.8
Emsisoft	5.1.0.11	2011.12.18	Virus.Win32.Ramnit!IK
F-Secure	9.0.16440.0	2011.12.18	Gen:Variant.Kazy.49130
GData	22	2011.12.18	Gen:Variant.Kazy.49130
Ikarus	T3.1.1.109.0	2011.12.18	Virus.Win32.Ramnit
Kaspersky	9.0.0.837	2011.12.18	Trojan.Win32.Lebag.ipa
McAfee	5.400.0.1158	2011.12.18	Generic Downloader.kz
Microsoft	1.7903	2011.12.18	Trojan:Win32/Ramnit
Panda	10.0.3.5	2011.12.18	Suspicious file

MD5   : ddd0a5a8598f892305bb03800bf4a2a4
SHA1  : b9fdd7e6fd5128d7c87502beacec284552d6a29d
SHA256: f868401bfbff04f0f91185c7485cf766804cb643d0f6fba519f2303d25997fce

Comme on peux le constater les antivirus gratuits ne le détectent pas, d’où certainement cette poussée que l’on constate depuis quelques semaines étant donné que les gratuits sont très utilisés en France.

Enfin ci-dessous les connexions effectuées par svchost.exe (l’utilisation d‘un processus système par injection permet de mettre les pare-feu dans le vent) – des connexions vers Gmail et Yahoo pour spammer.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 241 times, 1 visits today)

3 thoughts on “Ramnit fait son retour: un « vrai » virus…

  1. Hello Malekal,

    Je te cite : « Quand on dit Virus, c’est au sens strict du terme, à savoir que ce malware infecte bien les executables soit donc les fichiers .exe et .dll »

    Ne pas oublié aussi les .html d’une sauvegarde site par exemple car sinon il infectera le site concerné si il est retravaillé depuis cette sauvegarde…. « voulez-vous executer le module complémentaire blabla …. »

    @+

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *