Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Doctor Web entdeckt neues Botnet

Win32.Rmnet.12

Doctor Web entdeckt neues Botnet

20. April 2012, 14:51 Uhr | Ulrike Garlet
Doctor Web hat ein neues Botnetz entdeckt, Foto: pixeltrap/Fotolia

Der Security-Spezialist Doctor Web hat ein neues Botnetz identifiziert. Der Virus Win32.Rmnet.12 agiert als Backdoor und stiehlt unter anderem Passwörter, die auf FTP-Clients gespeichert sind. Er verbreitet sich über verschiedene Wege wie Browser-Schwachstellen.

Der Spezialist für Antiviren-Software, Doctor Web, hat ein neues Botnet entdeckt. Diesmal hat der Virus Win32.Rmnet.12 ein Botnetz mit mehr als einer Million Windows-Rechnern infiziert. Win32.Rmnet.12 agiert als Backdoor und stiehlt Passwörter, die auf populären FTP-Clients gespeichert sind. Die Passwörter könnten später dazu benutzt werden, um Netzwerk-Attacken zu planen und Webseiten zu infizieren, warnt Doctor Web. Win32.Rmnet.12 verarbeitet dabei Befehle von einem Remote-Server, die unter Umständen das Betriebssystem lahm legen können.

»Erste Einträge zu Win32.Rmnet.12 in unsere Virus-Datenbank erfolgten bereits im September 2011. Seitdem verfolgen unsere Analysten die Entwicklung. Der Virus greift Computer auf verschiedene Arten an - über infizierte Speichergeräte, mit infizierten auszuführenden Dateien oder unter Nutzung spezieller Skripts, die in HTML-Dokumente eingebettet sind. Wir haben mittlerweile volle Kontrolle über das virale Netzwerk von Win32.Rmnet.12, sodass Angreifer keinen Zugriff mehr auf infizierte Computer haben«, sagt Pierre Curien, Geschäftsführer für Deutschland bei Doctor Web.

Win32.Rmnet.12 ist nach Angabe von Doctor Web ein komplexer Multikomponenten-Virus, der aus verschiedenen Modulen besteht und sich selbst vervielfältigen kann. Beim Eindringen in ein System überprüft Win32.Rmnet.12, welcher Browser als Standard-Browser installiert ist und injiziert seinen Code in den Browser-Prozess.

Falls der Standard-Browser nicht identifiziert werden kann, attackiert der Virus den Microsoft Internet Explorer. Dann benutzt er die Festplatten-Seriennummer, um seinen eigenen File-Namen zu generieren, speichert sich selbst im Autorun-Ordner des jeweiligen Users und vergibt das Attribut »hidden« an die von ihm erzeugte Kopie. Die Virus-Konfiguration wird im gleichen Ordner gespeichert. Danach nutzt der Virus eine in ihm enthaltene Funktion, um den Namen eines Control-Servers zu bestimmen. Anschließend versucht er, sich mit diesem zu verbinden.

  1. Doctor Web entdeckt neues Botnet
  2. Backdoor als eine der Viruskomponenten
  3. Mehr als 1,4 Millionen Hosts

Lesen Sie mehr zum Thema

Dr. Web
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Dr. Web

Neue Vertriebsstrategie

Santer wird Vertriebsleiter bei Doctor Web in Deutschland

Vertriebspartner gesucht

Doctor Web eröffnet Büro in Frankfurt am Main

Doctor Web warnt vor böswilligen Anwendungen

Werbe-Trojaner greifen Mac OS X-Rechner an

Identifizierung neuer Bedrohungen

Doctor Web stellt Malware-Analystin ein

Spion auf dem Smartphone

Wenn Trojaner Kurznachrichten abfangen

Matchmaker+
Plusnet GmbH

Plusnet GmbH
Panduit

Panduit

Riello UPS GmbH

Riello UPS GmbH
nexspace data centers GmbH

nexspace data centers GmbH
d.velop AG

d.velop AG
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH