instalace
když virus běží, upustí soubor jako “ < název souboru>Srv.exe „(například “ mytestSvr.exe“), kde < název souboru> je název souboru infikovaného spustitelného souboru. Upuštěný soubor je pak spuštěn.
tento soubor může být detekován jako Worm: Win32 / Ramnit.A.
šíří se přes…
infikuje soubory
Virus:Win32 / Ramnit.A infikuje .HTML soubory s.HTML nebo .Rozšíření HTM. Infikovaný .HTML nebo .HTM soubory mohou být detekovány jako Virus: VBS / Ramnit.A.
Payload
umožňuje backdoor přístup a ovládání/připojení ke vzdálenému serveru
Virus:Win32 / Ramnit.A vytvoří backdoor připojením ke vzdálenému serveru. Pomocí tohoto backdooru může vzdálený hacker provádět libovolný počet akcí, včetně stahování a spouštění souborů na infikovaném počítači.
viz popis Worm: Win32 / Ramnit.A pro více informací o tom, jak malware Stahuje a spouští soubory.
vloží kód
virus vytvoří výchozí proces webového prohlížeče (který nebudete moci vidět) a vloží do něj kód.
může to udělat jako způsob, jak se vyhnout detekci a znesnadnit odstranění z infikovaného počítače.
analýza Podle Chun Feng