Neuer Virus, neues Botnet: Rmnet.12 infiziert über eine Million Windows-PCs

SicherheitSicherheitsmanagementVirus
Virus, Malware, Sicherheit (Quelle: so47 - Fotolia.com)

Security-Spezialist “Doctor Web” hat einen neuen Schädling mit zugehörigem Botnet ausfindig gemacht: Der Digitalfiesling hat bereits über eine Million Rechner infiziert.

Mehr als eine Million Windows-Stationen sind durch die Malware “Win32.Rmnet.12” belastet, meldet Dr. Web. Sie agiert als Backdoor-Trojaner und stiehlt Passwörter aus populären FTP-Programmen. Mit ihnen, so Doctor Web, plane man DDOS-Attacken auszuführen und weitere Infektionen einzuleiten.

Die Befehle, die die infizierten Systeme empfangen und ausführen, kommen über einen externen Rechner – per Remote-Steuerung lasse sich zudem der Rechner lahmlegen. Die Malware sei bereits im September 2011 aufgetaucht und infiziere seither Systeme sowohl über externe Speicher als auch über Exe-Dateien sowie über Scripts, die in HTML-Dokumenten eingebettet sind, erklärt Doctor-Web-Deutschland-Geschäftsführer Pierre Curien.

Wer die Antiviren-Software von Doctor Web nutze, sei natürlich sicher: Der Anbieter habe die “volle Kontrolle über das virale Netzwerk von Win32.Rmnet.12”, Angreifer hätte also keinen Zugriff mehr auf die infizierten PCs.

Der Schädling sei als komplexer Multikomponenten-Virus aus verschiedenen Modulen angelegt, erkenne zunächst die Standard-Browser-Einstellung und injiziere seinen Code in den Browser-Prozess. Dann benutze er die Festplatten-Seriennummer, um seinen eigenen Dateinamen zu generieren, speichere sich selbst im Autorun-Ordner des jeweiligen Users und vergebe das Attribut “hidden” an die von ihm erzeugte Kopie. Schließlich speichere er im gleichen Ordner die Virus-Konfiguration und versuche, mit dem jeweils aktiven (und zuvor per Funktion ermittelten) Control-Server des Botnetzes Kontakt aufzunehmen.

Die Komponenten des Schädlings enthalten einen eigenen FTP-Server, Funktionen zum Passwort-Diebstahl aus FTP-Clients wie Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP  und für den Missbrauch gespeicherter Authentifizierungs-Cookies. Zusätzlich könne er Zugang zu bestimmten Seiten blockieren und den Nutzer zu einer anderen Webseite umleiten – die Phishing-Komponente.

(Bildquelle: so47 – Fotolia.com)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen