Installazione
Quando il virus viene eseguito, rilascia un file come “<nome file>Srv.exe “(ad esempio, ” mytestSvr.exe”), dove <nome file> è il nome del file eseguibile infetto. Il file eliminato viene quindi eseguito.
Questo file potrebbe essere rilevato come Worm:Win32/Ramnit.A.
Si diffonde attraverso…
Infetta i file
Virus:Win32 / Ramnit.A infetta .File HTML con.HTML o .Estensioni HTM. Gli infetti .HTML o .I file HTM potrebbero essere rilevati come Virus: VBS / Ramnit.A.
Payload
Consente l’accesso e il controllo backdoor / Si connette al server remoto
Virus:Win32/Ramnit.A crea una backdoor collegandosi a un server remoto. Utilizzando questa backdoor, un hacker remoto può eseguire qualsiasi numero di azioni, tra cui il download e l’esecuzione di file sul PC infetto.
Vedere la descrizione per Worm:Win32/Ramnit.A per maggiori dettagli su come il malware scarica ed esegue i file.
Inietta il codice
Il virus crea un processo predefinito del browser Web (che non sarà in grado di vedere) e inietta il codice in esso.
Potrebbe farlo come un modo per evitare il rilevamento e rendere più difficile la rimozione da un PC infetto.
Analisi di Chun Feng