Botnetz Rmnet.12 infiziert über eine Million Windows-PCs

drweb

Dr.Web hat erneut ein Botnetz entdeckt, welches inzwischen über eine Million Windows-PCs infiziert hat. Win32.Rmnet.12 agiert als Backdoor und stiehlt Passwörter aus bekannten FTP-Clients und versendet diese an einen Remote-Server. Die geklauten Zugänge können dann später dazu missbraucht werden DDOS-Attacken durchzuführen und Webseiten zu infizieren. Angegriffen werden die Zielrechner durch infizierte Speichergeräte oder durch manipulierte Webseiten, bei deren Besuch ein schadhafter Code ausgeführt und Schwachstellen im Betriebssystem oder Programmen ausgenutzt werden. Der Virus ist dann in der Lage, den PC nach html Dateien zu durchsuchen und einen VBScript dort einzubetten. Darüber hinaus infiziert Win32.Ramnet.12 alle gefundenen .exe-Dateien und kopiert sich zusätzlich auf angeschlossene Wechseldatenträger.

Der sog. Multikomponenten-Virus besteht aus verschiedenen Modulen, um sich nach der Infektion selbständig vervielfältigen und ausbreiten zu können. Dabei ermittelt der Virus den Standardbrowser des Systems und manipuliert diesen. Um sich zu tarnen, generiert der Virus aus der Seriennummer der Festplatte seinen eigenen Dateinamen und kopiert sich in das Autorun-Verzeichnis und vergibt das Parameter “hidden”. Anschließend baut der Virus eine Verbindung zum Control-Server auf, um weitere Befehle entgegen zu nehmen.

Die Backdoor-Funktion startet auf dem PC eine FTP-Sitzung und überträgt diverse Informationen an einen Remote-Server. Diese Informationen umfassen persönliche Daten oder Screenshots. Es lässt sich weiterhin beliebiger Code ausführen oder Kommandos auf dem infizierten PC absetzen. Die andere Komponente klaut Passwörter aus beliebten FTP-Clients wie FlashFXP, Filezilla, Bullet Proof FTP usw. Diese Zugänge können dazu genutzt werden DDOS-Attacken auszuführen oder  Schadsoftware auf den Server zu platzieren. Weiterhin wird der PC nach Cookies durchsucht, um so an diverse Zugänge des Opfers zu gelangen. Es soll auch möglich sein, dass mittels Web-Injection Informationen über Bankkonten entwendet werden.

 

Schützen Sie sich, indem Sie eine aktuelle Anti-Viren Software installieren und Ihre Programme und Plugins auf dem neuesten Stand halten.

 

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Post Navigation