Una acción coordinada de Anubisnetworks, Microsoft y Symantec, junto con Europol, ha hecho grave daño a la infraestructura detrás de la botnet Ramnit.

Ramnit es una de esas botnets que se esconden en el fondo de Internet. Sus infecciones principalmente ocurren en países donde la comunidad de seguridad tiende a ser menos visible, siendo los tres países más infectados India, Indonesia y Vietnam. Se cree que ha infectado a más de 3 millones de computadoras en total, el número de máquinas en el momento de la desactivación se mantuvo alrededor de 350 mil.

Ramnit robó credenciales bancarias, cookies y otro tipo de información personal de las máquinas que infectó, también dejó backdoors (puerta trasera) y robó credenciales FTP. Éstas últimas credenciales fueron después utilizadas por el malware para propagarse más.

Mientras que la infraestructura actual ha sido derrumbada, el malware sigue presente en las máquinas. Si bien se desconoce si los dueños de la botnet serán capaces de restaurarla, por ahora ha sido un gran golpe.

En noviembre de 2012, Virus Bulletin publicó un artículo de Chao Che, investigador de Fortinet, que analizó a fondo a Ramnit y todos sus módulos. Dado que las máquinas infectadas no se han limpiado, vale la pena estudiar el artículo para cualquiera que desee una comprensión completa de cómo funciona el malware.

Ramnit, como muchas otras muestras de malware modernas, es altamente modular. Este diagrama muestra el proceso que se utiliza para descargar los módulos.