Ramnit est un virus au sens littéral du terme. Ce ver en 2012 a déjà permis notamment le piratage de plus de 50 000 comptes Facebook dont 27% de comptes français et a touché à cette époque plus de 800 000 machines à travers le monde. Bien que de nombreux anti-virus le détecte Ramnit mute pour resurgir régulièrement sur la toile.
Ce virus infecte directement les exécutables (explorer.exe, userinit.exe, cmd.exe, etc …), et les fichiers dll du système. Le virus modifie les clés de démarrage du mode sans échec pour empêcher son utilisation. Des restrictions sont également mises en place (désactivation de l’affichage des fichiers/dossiers cachés, désactivation du gestionnaire des tâches, de l’éditeur de registre, de l’UAC, des alertes du centre de sécurités, etc …).Pour certaines variantes, ils ajoutent un KillAV (tueur d’antivirus) et stoppent les processus et services des principaux outils de sécurité, tout en empêchant d’en télécharger de nouveaux. Ramnit part ensuite à la recherche d’informations personnelles, en parcourant particulièrement les fichiers système Windows et les cookies des navigateurs Internet : identifiants, numéros de série, etc… La propagation est très rapide !
Il suffit d’un seul fichier infecté et chargé dans la mémoire de l’ordinateur pour que l’infection se propage sur de nombreux fichiers.
Les infections du genre se font souvent à la suite d’un malencontreux clic sur un fichier infecté que l’on récupère généralement sur internet (et plus particulièrement via les réseau P2P ou les newsgroup) ou sur des clefs usb infectées. Ramnit s’installe discrètement sur le PC, et commence à farfouiller le disque dur à la recherche de données personnelles et d’identifiants qui seront ensuite envoyés à des pirates.
Voir la solution complète