GETOVERX FORUM Community Support   ›   Malware Docs   ›   Virus   ›   VIRUS – Ramnit

  • 1 Vote(s) - 3 Average
  • 1
  • 2
  • 3
  • 4
  • 5
VIRUS – Ramnit
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
11-29-2025, 03:46 PM (This post was last modified: 12-07-2025, 03:18 PM by mrwebfeeder.)
Nombre: Win32.Ramnit

Categoría: Virus de archivos + Infector de HTML/EXE

Fecha de descubrimiento: 2010

Comportamiento (lo que hace y archivos que infecta):
- Infecta archivos ejecutables y de contenido web, principalmente .exe, .dll, .htm y .html.
- Inserta iframes y código malicioso en páginas HTML para redirigir a sitios controlados por atacantes o descargar más malware.
- Se propaga a través de unidades extraíbles (USB) copiándose a todos los volúmenes conectados y creando accesos directos maliciosos.
- Puede descargar y ejecutar otros componentes, abrir backdoors y convertir el equipo en parte de una botnet, con capacidad de robo de credenciales (cookies de navegador, credenciales de FTP, etc.).

Persistencia:
- Infecta ejecutables del sistema y programas de uso frecuente, asegurando que su código se ejecute tras cada reinicio.
- Crea copias propias y accesos directos maliciosos en unidades extraíbles para reinfectar equipos cuando se conectan.
- Algunas variantes instalan componentes adicionales que añaden claves de inicio automático (Run/RunOnce) o servicios para mantenerse activos.

Hash real de referencia (SHA-256):
- Ejemplo de hash de una muestra pública:
Code:
d8a1d3fef8dfd75f2acbc3953113198f4b5c14f1fc103329c38ff5dc2efe9a4d

Mitigación con GetOverX Shield v3.0.2.0:
Describe los pasos recomendados usando los módulos de GetOverX Shield:
  • Antivirus:
    Realizar un escaneo completo del sistema, incluyendo todas las unidades extraíbles.
    - Cuarentenar o eliminar todas las detecciones asociadas a Ramnit.
    - Prestar atención a ejecutables del sistema y aplicaciones críticas infectadas; en muchos casos es preferible reinstalar el software legítimo desde fuentes confiables.
    - Repetir el escaneo tras la limpieza para confirmar que no quedan archivos infectados.
  • Firewall:
    - Bloquear conexiones salientes a dominios y direcciones IP desconocidas asociadas a Ramnit o tráfico C2 sospechoso.
    - Restringir temporalmente el acceso a Internet del equipo comprometido mientras se realiza la limpieza, para impedir:
      - Descarga de nuevos módulos de la botnet.
      - Robo continuo de credenciales.
    - Opcionalmente, colocar el equipo en una VLAN aislada durante la respuesta al incidente.
  • HIPS/EDR:
    - Definir reglas de comportamiento para alertar o bloquear:
      - Procesos que comiencen a modificar en masa archivos .exe, .dll y .html.
      - Creación repentina de accesos directos .lnk y ejecutables en unidades USB.
      - Inyección de código en procesos del sistema, navegadores o clientes FTP.
    - Configurar respuesta automática (bloquear y registrar) cuando se detecte actividad típica de infector o intento de robo de credenciales.
  • Sandbox:
    - Analizar en Sandbox todos los ejecutables sospechosos obtenidos de:
      - “Cracks”, keygens y activadores.
      - Sitios de descargas no oficiales.
    - Observar si el archivo intenta:
      - Infectar otros ejecutables o HTML del entorno.
      - Conectarse a dominios o IPs desconocidos.
      - Crear copias en unidades extraíbles.
    - Marcar las muestras confirmadas como maliciosas para su bloqueo inmediato en el resto de endpoints.
  • Secure Erase / Limpieza avanzada:
    - Aplicar borrado seguro sobre:
      - Copias del malware en USB y discos externos.
      - Herramientas de crack/keygen usadas como vector.
    - En caso de infecciones muy extendidas en medios removibles, considerar el formateo completo de dichos dispositivos tras hacer copia de seguridad solo de archivos estrictamente necesarios y previamente escaneados.
  • Medidas posteriores al incidente:
    - Cambiar todas las contraseñas usadas desde el equipo afectado (correo, banca en línea, hosting, FTP, VPN, etc.).
    - Revisar accesos sospechosos en paneles de hosting, servicios críticos y cuentas financieras.
    - Verificar la integridad de navegadores y clientes FTP/SSH; reinstalarlos si se sospecha compromiso.
    - Implementar políticas internas para prohibir el uso de cracks y keygens.
    - Reforzar la estrategia de copias de seguridad offline y pruebas periódicas de restauración.

Notas opcionales:
- Ramnit es una familia con variantes clasificadas como virus, gusano y troyano bancario, asociada históricamente a grandes botnets y robo de credenciales.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)