ويروس W32/Ramnit.b
چيست؟
ويروسی با درجه خطر کم (Low) که عملکرد “کرم” (Worm) داشته و به طور خودکار خودش را منتشر می کند. اولین نسخه از خانواده این ویروس در دی ماه سال 1388 مشاهده شد و طی چند ماه گذشته فعالیت زیادی از خود نشان داده است. گرچه در حال حاضر بر طبق نقشه جهانی بیشترین انتشار این ویروس در انگلیس بوده است، اما آمارهای محلی نشان می دهد که میزان آلودگی ها در ایران هم نسبتا قابل توجه بوده است.
نامگذاری ها
اين ويروس با نام های زير توسط ضدويروس های مختلف شناسايی می شود:
McAfee W32/Ramnit.b!9B9128872D84
avast Win32:PrefPoly
avira W32/Ramnit.E
Kaspersky Trojan.Win32.Patched.md
BitDefender Win32.Ramnit.N
Microsoft Virus:Win32/Ramnit.AE
Symantec W32.Ramnit.B!inf
Eset Win32/Ramnit.H virus
norman W32/Ramnit.AB
panda W32/Cosmu.L
Sophos W32/Ramnit-A
انتشار
این ویروس، مانند سایر کرم ها از روش های متعددی برای انتشار استفاده می کند.
– از طریق دیسک های USB قابل حمل (Flash Disk) و CDهای قابل نوشتن (Writable)
– در محیط شبکه های محلی (LAN) نیز برروی شاخه های اشتراکی کپی می شود تا سایر کاربران را آلوده کند.
خرابکاری
این ویروس فایل های آلوده زیر را در دستگاه آلوده کپی می کند:
%USERPROFILE%\Local Settings\Application Data\awnlprtc\idfxauds.exe
C:\Documents and Settings\ADMINI~1mgr.exe
%USERPROFILE%\Local Settings\Application Data\jeipbtin.log
%TEMP%\aidscwfyrmfoyvlq.exe
%TEMP%\control.xml
%USERPROFILE%\Start Menu\Programs\Startup\idfxauds.exe
%USERPROFILE%\Local Settings\Application Data\kumdtqpo.log
%WINDIR%\wmsetup.log
سپس با تغییر مدخل زیر در محضرخانه سیستم بلافاصله و همزمان با ورود کاربر به سیستم فایل اجرایی آلوده idfxauds.exe بر روی سیستم اجرا می شود:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWSNT \CURRENTVERSION\WINLOGON\USERINIT = %WINDIR%\SYSTEM32\userinit.exe,,%USERPROFILE%\Local Settings\Application Data \awnlprtc\idfxauds.exe
همچنین تغییر در مدخل زیر تضمین می کند که با هر بار راه اندازی مجدد سیستم فایل آلوده idfxauds.exe بر روی سیستم اجرا شود:
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS \CURRENTVERSION\RUN\IDFXAUDS = %USERPROFILE%\Local Settings\Application Data\awnlprtc\idfxauds.exe
از خرابکاری های دیگر این ویروس این است که برخی تنظیمات پیش فرض برنامه Media Player ویندوز را تغییر می دهد.
این ویروس سعی می کند با نشانی های زیر ارتباط برقرار کند:
– 82.165.39.**:443
– 178.79.172.***:443
– 87.255.51.***:443
– 50.62.12.***:443
– 74.125.127.***:80
– hxxp://autoupdate.windowsmedia.com/update/*****
– 65.55.13.***:80
– 208.73.2[private subnet]
پيشگيری
استفاده از رمزهای عبور قوی برای کاربران و عدم به اشتراک گذاری کل درايوها از نکات اوليه برای پيشگری در مقابل کرم ها است. به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6580 و بالاتر قادر به شناسایی و پاکسازی این ویروس است.
6 پاسخ
سلام ممنونم از اطلاعات شما متاسفانه سیستم من دچار ویروس
win32.ramnit,b!inf نمی دونم چکار کنم البته سیمانتک نصب و به روز است ولی واقعا کلافه شدم چه پیشنهادی دارید؟
می توانید سئوال خود را به بخش پشتیبانی ارسال کنید
help@shabakeh.net
کامپیوتر بنده مبتلا به ویروس w32.ramnit شده است. الآن آنتی ویروس شید آپدیت شده دارم. ویروس را پیدا می کند و ظاهرا حذف یا ترمیم می کند اما باز هم هست. چه باید بکنم؟
با سامانه پشتیبانی شبکه گستر تماس بگیرید.
help.shabakeh.net
سلام.
با آنتی ویروس Bitdefender Total Security 2013 این تروجان رو پیدا کردم.اما متاسفانه آنتی ویروسم پیغام می ده که نمی تونم پاکش کنم و کامپیوتر شما الان Virus-Free نیست.
خواهشاً کمک و راهنماییم کنید هر چه زودتر.
سپاس
گرچه شرکت شبکه گستر فقط محصولات سازمانی Bitdefender را عرضه و پشتیبانی می کند، ولی می توانید از طریق help@shabakeh.net با گروه پشتیبانی این شرکت در تماس باشید.