W32/Ranetif

RANETIF gusano/backdoor infecta unidades de disco detiene elimina servicios se conecta a servidor web, etc.

W32/Ranetif

Ranetif es un gusano/backdoor residente en memoria reportado el 29 de Diciembre del 2007, que se propaga a través de diversos servicios de Internet.

Infecta la raíz de unidades de disco, incluso las removibles.

El gusano activa su Backdoor que se conecta a un servidor web cifrado a través del puerto TCP 3310 desde donde podrá ejecutar acciones arbitrarias en forma remota.

Desestabiliza la seguridad del sistema inhabilitando servicios.

Infecta a Windows 98/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 19KB y comprimido con el utilitario ASProtect.

Una vez ingresado, el gusano se copia a las siguientes rutas con los nombres:

%Windir%\INETINFO.EXE
%Windir%\scanip.txt
%System%\drivers\svchost.exe

para infectar cualquier unidad de disco cada vez que ésta sea ejecutada se copia a sí mismo a:

%Unidad_de_disco%\autorun.inf

para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Network remote assistant" = "%System%\drivers\svchost.exe /autorun"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

para desestabilizar la seguridad del sistema, agrega la siguiente llave:

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%System%\drivers\svchost" = "%System%\drivers\svchost:*:Enabled:@xpsp2res.dll,-22001"

Al siguiente inicio del equipo crea un servicio de sistema, con las características:

Nombre: %Windir%\INETINFO.EXE
Nombre mostrado: InetInfo
Tipo de Inicio: Automático

cada tres minutos, revisa las unidades de disco para comprobar su infección.

Detiene los siguientes servicios en ejecución:

regedit
rundll32
mmc

Asimismo borra sus archivos asociados:

%Windir%\regedit.exe
%System%\rundll32.exe
%System%\mmc.exe

Como Backdoor se conecta a través del puerto TCP 3311, contenido en el archivo scanip.txt a un servidor web cifrado, desde el cual recibirá instrucciones, ejecutando las siguientes acciones en forma remota:

Descargar, ejecutar y borrar archivos
Capturar y enviar información del sistema
Cerrar la conexión a Internet
Apagar o salir del sistema
Salir de Windows
Capturar y controlar la ruta de llave: HKEY_CLASSES_ROOT\.exe para ejecutar archivos y programas arbitrariaramente.

PER ANTIVIRUS® versión 10.3 con registro de virus al 29 de Noviembre del 2007 detecta y elimina este gusano/backdoor.