Neuer Virus, neues Botnet: Rmnet.12 infiziert über eine Million Windows-PCs
Mehr als eine Million Windows-Stationen sind durch die Malware “Win32.Rmnet.12” belastet, meldet Dr. Web. Sie agiert als Backdoor-Trojaner und stiehlt Passwörter aus populären FTP-Programmen. Mit ihnen, so Doctor Web, plane man DDOS-Attacken auszuführen und weitere Infektionen einzuleiten.
Die Befehle, die die infizierten Systeme empfangen und ausführen, kommen über einen externen Rechner – per Remote-Steuerung lasse sich zudem der Rechner lahmlegen. Die Malware sei bereits im September 2011 aufgetaucht und infiziere seither Systeme sowohl über externe Speicher als auch über Exe-Dateien sowie über Scripts, die in HTML-Dokumenten eingebettet sind, erklärt Doctor-Web-Deutschland-Geschäftsführer Pierre Curien.
Wer die Antiviren-Software von Doctor Web nutze, sei natürlich sicher: Der Anbieter habe die “volle Kontrolle über das virale Netzwerk von Win32.Rmnet.12”, Angreifer hätte also keinen Zugriff mehr auf die infizierten PCs.
Der Schädling sei als komplexer Multikomponenten-Virus aus verschiedenen Modulen angelegt, erkenne zunächst die Standard-Browser-Einstellung und injiziere seinen Code in den Browser-Prozess. Dann benutze er die Festplatten-Seriennummer, um seinen eigenen Dateinamen zu generieren, speichere sich selbst im Autorun-Ordner des jeweiligen Users und vergebe das Attribut “hidden” an die von ihm erzeugte Kopie. Schließlich speichere er im gleichen Ordner die Virus-Konfiguration und versuche, mit dem jeweils aktiven (und zuvor per Funktion ermittelten) Control-Server des Botnetzes Kontakt aufzunehmen.
Die Komponenten des Schädlings enthalten einen eigenen FTP-Server, Funktionen zum Passwort-Diebstahl aus FTP-Clients wie Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP und für den Missbrauch gespeicherter Authentifizierungs-Cookies. Zusätzlich könne er Zugang zu bestimmten Seiten blockieren und den Nutzer zu einer anderen Webseite umleiten – die Phishing-Komponente.
(Bildquelle: so47 – Fotolia.com)