Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Doctor Web entdeckt neues Botnet

Win32.Rmnet.12

Doctor Web entdeckt neues Botnet

20. April 2012, 14:51 Uhr | Ulrike Garlet
Fortsetzung des Artikels von Teil 1

Backdoor als eine der Viruskomponenten

Eine der Viruskomponenten ist eine Backdoor. Nach dem Eindringen versucht sie, die Geschwindigkeit der Internet-Verbindung zu bestimmen. Sie sendet in 70-Sekunden-Intervallen Anfragen an google.com, bing.com und yahoo.com und analysiert die Antworten. Anschließend startet Win32.Rmnet.12 einen FTP-Server auf der infizierten Maschine, verbindet sich mit einem Remote-Server und überträgt die Informationen über das infizierte System an die Eindringlinge. Die Backdoor kann vom Remote-Server empfangene Befehle ausführen, im Speziellen um beliebige Dateien herunterzuladen und auszuführen, sich selbst zu aktualisieren, Screenshots zu erstellen und diese zu den Angreifern zu senden und schließlich das Betriebssystem lahmzulegen.

Eine weitere Viruskomponente stiehlt Passwörter, die auf populären FTP-Clients gespeichert sind, wie etwa Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla oder Bullet Proof FTP. Diese Information kann später dazu genutzt werden, um Attacken auf Netzwerke auszuführen oder weitere Malware auf Remote-Servern zu platzieren.

Außerdem durchsucht Win32.Rmnet.12 die Cookies des Users, sodass die Angreifer Zugang zu Accounts des Users erhalten können, die eine Authentifizierung voraussetzen. Zusätzlich kann diese Komponente den Zugang zu bestimmten Seiten blockieren und den User zu einer Webseite umleiten, die von den Virenautoren kontrolliert wird. Eine der Win32.Rmnet.12-Modifikationen ist in der Lage, mittels Web-Injections Informationen über Bankkonten zu stehlen.

Der Virus verbreitet sich über verschiedene Wege. Er benutzt Browser-Schwachstellen, die es Eindringlingen ermöglichen, ausführbare Dateien über das Laden einer Webseite zu speichern und zu starten. Der Virus sucht auf allen vorhandenen Festplatten und Partitionen nach gespeicherten HTML-Dateien und bettet den VBScript-Code dort ein. Zusätzlich infiziert Win32.Rmnet.12 alle .exe-Dateien und kann sich selbständig auf Wechseldatenträger kopieren. Er speichert eine Autorun-Datei und einen Shortcut zu einer schädlichen Anwendung im Stammverzeichnis angeschlossener Wechseldatenträger, wodurch das automatische Ausführen des Schadcodes möglich wird.

  1. Doctor Web entdeckt neues Botnet
  2. Backdoor als eine der Viruskomponenten
  3. Mehr als 1,4 Millionen Hosts

Lesen Sie mehr zum Thema

Dr. Web
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Dr. Web

Neue Vertriebsstrategie

Santer wird Vertriebsleiter bei Doctor Web in Deutschland

Vertriebspartner gesucht

Doctor Web eröffnet Büro in Frankfurt am Main

Doctor Web warnt vor böswilligen Anwendungen

Werbe-Trojaner greifen Mac OS X-Rechner an

Identifizierung neuer Bedrohungen

Doctor Web stellt Malware-Analystin ein

Spion auf dem Smartphone

Wenn Trojaner Kurznachrichten abfangen

Matchmaker+
Vertiv GmbH

Vertiv GmbH
Softing IT Networks GmbH

Softing IT Networks GmbH
Riello UPS GmbH

Riello UPS GmbH
Zyxel Networks A/S

Zyxel Networks A/S
d.velop AG

d.velop AG
Redgate Software

Redgate Software