Ramnit.B

Te contamos en qué consiste este nuevo troyano, cómo se propaga, los efectos que puede producir y cómo desinfectar tu Windows Me, XP o Vista paso a paso. El Ramnit.B es un nuevo virus que acaba de aparecer y cuyos efectos pueden ser muy perjudiciales para tu ordenador, aunque este virus no se propaga automáticamente.

El nombre completo de este virus es Trojan.W32/Ramnit.B@Otros, pero se conoce como Ramnit.B, se trata de un Caballo de Troya que puede parecer beneficioso pero nada puede estar más lejos de la realidad. Afortunadamente, el Ramnit.B no se propaga por sí mismo, aunque afecta a multitud de plataformas:

Microsoft Windows Vista de 32 bits, Microsoft Windows 2000, Microsoft Windows, Microsoft Windows 98, Microsoft Windows Millennium, Microsoft Windows NT, Microsoft Windows Server 2003, Microsoft Windows Server 2008 y Microsoft Windows XP.

¿Cómo se transmite y cómo evitar la infección?

 Al visitar páginas infectadas, el código malicioso puede entrar en nuestro ordenador, aunque generalmente llega a través de algún programa de compartición de ficheros (P2P). Por suerte, este troyano no se ejecuta automáticamente en cada reinicio. Para evitar la infección, debemos evitar las webs de origen dudoso, con aspecto extraño y  que nos abren multitud de ventanas emergentes. Actualizar frecuentemente el navegador y el sistema operativo con los últimos parches puede ser útil, así como borrar la memoria del caché y aumentar la seguridad de los navegadores. Y por supuestos, no olvides actualizar tu antivirus

¿Qué efectos produce el virus?

Cuando Ramnit.B se ejecuta, crea los siguientes archivos y carpetas:

  • “%Application Data%\tvbjuwht.log”
  • “%UserProfile%\Local Settings\Temp\kavmyabeqvvnifrf.exe”

Ejecutando los siguiente procesos en el sistema:

  • c:\docume~1\support\locals~1\temp\kavmyabeqvvnifrf.exe
  • c:\windows\system32\svchost.exe

El troyano realiza las siguiente peticiones DNS:

  • anypbvojndegpnm.com
  • apimyackpqd.com
  • attqfideqdholwyafo.com
  • bfbbvadypijthjh.com
  • buoprdhrhaighfcfl.com
  • bxqqsoxw.com

Además, modifica la entrada del registro:

  • Clave: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Valor: Userinit = C:\WINDOWS\system32\userinit.exe,,c:\Documents and Settings\test user\Local Settings\Application Data\kogfjxos\srxrwxyu.exe

Y crea la siguiente entrada del registro:

  • Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    Valor: SrxRwxyu = c:\Documents and Settings\test user\Local Settings\Application Data\kogfjxos\srxrwxyu.exe

¿Cómo desinfectar el ordenador?

La restauración del sistema en Windows Me, XP o Vista siempre es efectiva si se sabe en qué momento se produjo la infección. Tan solo tenemos que volver a un  punto de restauración anterior, sin perder nuestros documentos aunque sí todos los ejecutables que se hayan instalado después de ese punto de restauración.  Si este método no nos conviene, lo mejor es desactivar la restauración del sistema antes de empezar a intentar eliminarlo de otra forma, ya que el troyano puede haber creado una copia de seguridad.

Los pasos a seguir son los siguientes:

–       Reiniciar en modo seguro o a prueba de fallos.

–       Hacer un análisis con el antivirus que tengamos actualizado para localizar todas las copias del troyano.

–       Eliminar los siguientes archivos:

  • %UserProfile%\Local Settings\Temp\kavmyabeqvvnifrf.exe
  • %Application Data%\tvbjuwht.log

Nota: %UserProfile% es una variable que hace referencia al directorio del perfil del usuario actual. Por defecto es C:\Documents and Settings\{nombre de usuario} (Windows NT/2000/XP) o C:\Usuarios\{nombre de usuario} (Windows Vista y 7).

%Application Data% es una variable que hace referencia a la carpeta de Datos de Aplicación. C:\WINNT\Profiles\{nombre de usuario}\Application Data (Windows NT), o C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data (Windows 2000/XP/Server 2003) o C:\usuarios\{nombre de usuario}\AppData (Windows Vista y 7).

–       Si aparece un error a la hora de eliminarlos, puede que estos ficheros estén en uso, así que primero habrá que terminar el proceso de ejecución manualmente con el administrador de tareas.

–       Abriremos el registro, siempre con mucho cuidado de no borrar o modificar algo que no debemos, y editaremos las siguientes entradas para deshacer los cambios que ha provocado el virus:

  •  Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • Valor: SrxRwxyu = c:\Documents and Settings\test user\Local Settings\Application Data\kogfjxos\srxrwxyu.exe

Hay que modificar las siguientes entradas del registro a su valor original:

  • Clave: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • Valor: Userinit = C:\WINDOWS\system32\userinit.exe,,c:\Documents and Settings\test user\Local Settings\Application Data\kogfjxos\srxrwxyu.exe

– Por último, eliminaremos todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador y la Papelera de reciclaje. Reiniciamos el ordenador y volvemos  a pasar el antivirus para asegurarnos de que todo está bien.

 

Deje un comentario