Installation
Lorsque le virus s’exécute, il supprime un fichier en tant que « < nom de fichier > Srv.exe » (par exemple, « mytestSvr.exe »), où < nom de fichier > est le nom de fichier de l’exécutable infecté. Le fichier déposé est ensuite exécuté.
Ce fichier peut être détecté comme un ver: Win32/Ramnit.A.
Se propage à travers…
Infecte les fichiers
Virus:Win32 / Ramnit.A infecte.Fichiers HTML avec.HTML ou .Extensions HTM. Les infectés.HTML ou .Les fichiers HTM peuvent être détectés comme Virus: VBS/ Ramnit.A.
Charge utile
Permet l’accès et le contrôle par une porte dérobée / Se connecte au serveur distant
Virus: Win32/Ramnit.A crée une porte dérobée en se connectant à un serveur distant. En utilisant cette porte dérobée, un pirate distant peut effectuer un certain nombre d’actions, y compris le téléchargement et l’exécution de fichiers sur le PC infecté.
Voir la description du ver: Win32/Ramnit.A pour plus de détails sur la façon dont le logiciel malveillant télécharge et exécute les fichiers.
Injecte du code
Le virus crée un processus de navigateur Web par défaut (que vous ne pourrez pas voir) et y injecte du code.
Cela peut être un moyen d’éviter la détection et de rendre plus difficile le retrait d’un PC infecté.
Analyse par Chun Feng