Win32.Rmnet.12:
Doctor Web entdeckt neues Botnet

von Ulrike Garlet (ulrike.garlet@crn.de)

20.04.2012

Der Security-Spezialist Doctor Web hat ein neues Botnetz identifiziert. Der Virus Win32.Rmnet.12 agiert als Backdoor und stiehlt unter anderem Passwörter, die auf FTP-Clients gespeichert sind. Er verbreitet sich über verschiedene Wege wie Browser-Schwachstellen.

Keine Beiträge im Forum. » Diskussion starten!

Doctor Web hat ein neues Botnetz entdeckt, Foto: pixeltrap/Fotolia

Der Spezialist für Antiviren-Software, Doctor Web, hat ein neues Botnet entdeckt. Diesmal hat der Virus [1]Win32.Rmnet.12 ein Botnetz mit mehr als einer Million Windows-Rechnern infiziert. Win32.Rmnet.12 agiert als Backdoor und stiehlt Passwörter, die auf populären FTP-Clients gespeichert sind. Die Passwörter könnten später dazu benutzt werden, um Netzwerk-Attacken zu planen und Webseiten zu infizieren, warnt Doctor Web. [1]Win32.Rmnet.12 verarbeitet dabei Befehle von einem Remote-Server, die unter Umständen das Betriebssystem lahm legen können.

»Erste Einträge zu [1] [1]Win32.Rmnet.12 in unsere Virus-Datenbank erfolgten bereits im September 2011. Seitdem verfolgen unsere Analysten die Entwicklung. Der Virus greift Computer auf verschiedene Arten an - über infizierte Speichergeräte, mit infizierten auszuführenden Dateien oder unter Nutzung spezieller Skripts, die in HTML-Dokumente eingebettet sind. Wir haben mittlerweile volle Kontrolle über das virale Netzwerk von [1] [1]Win32.Rmnet.12, sodass Angreifer keinen Zugriff mehr auf infizierte Computer haben«, sagt Pierre Curien, Geschäftsführer für Deutschland bei Doctor Web.

[1]

Win32.Rmnet.12 ist nach Angabe von Doctor Web ein komplexer Multikomponenten-Virus, der aus verschiedenen Modulen besteht und sich selbst vervielfältigen kann. Beim Eindringen in ein System überprüft [1] [1]Win32.Rmnet.12, welcher Browser als Standard-Browser installiert ist und injiziert seinen Code in den Browser-Prozess.

Falls der Standard-Browser nicht identifiziert werden kann, attackiert der Virus den Microsoft Internet Explorer. Dann benutzt er die Festplatten-Seriennummer, um seinen eigenen File-Namen zu generieren, speichert sich selbst im Autorun-Ordner des jeweiligen Users und vergibt das Attribut »hidden« an die von ihm erzeugte Kopie. Die Virus-Konfiguration wird im gleichen Ordner gespeichert. Danach nutzt der Virus eine in ihm enthaltene Funktion, um den Namen eines Control-Servers zu bestimmen. Anschließend versucht er, sich mit diesem zu verbinden.

Backdoor als eine der Viruskomponenten

Eine der Viruskomponenten ist eine Backdoor. Nach dem Eindringen versucht sie, die Geschwindigkeit der Internet-Verbindung zu bestimmen. Sie sendet in 70-Sekunden-Intervallen Anfragen an google.com, bing.com und yahoo.com und analysiert die Antworten. Anschließend startet Win32.Rmnet.12 einen FTP-Server auf der infizierten Maschine, verbindet sich mit einem Remote-Server und überträgt die Informationen über das infizierte System an die Eindringlinge. Die Backdoor kann vom Remote-Server empfangene Befehle ausführen, im Speziellen um beliebige Dateien herunterzuladen und auszuführen, sich selbst zu aktualisieren, Screenshots zu erstellen und diese zu den Angreifern zu senden und schließlich das Betriebssystem lahmzulegen.

Eine weitere Viruskomponente stiehlt Passwörter, die auf populären FTP-Clients gespeichert sind, wie etwa Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla oder Bullet Proof FTP. Diese Information kann später dazu genutzt werden, um Attacken auf Netzwerke auszuführen oder weitere Malware auf Remote-Servern zu platzieren.

Außerdem durchsucht [1] [1]Win32.Rmnet.12 die Cookies des Users, sodass die Angreifer Zugang zu Accounts des Users erhalten können, die eine Authentifizierung voraussetzen. Zusätzlich kann diese Komponente den Zugang zu bestimmten Seiten blockieren und den User zu einer Webseite umleiten, die von den Virenautoren kontrolliert wird. Eine der [1] [1]Win32.Rmnet.12-Modifikationen ist in der Lage, mittels Web-Injections Informationen über Bankkonten zu stehlen.

Der Virus verbreitet sich über verschiedene Wege. Er benutzt Browser-Schwachstellen, die es Eindringlingen ermöglichen, ausführbare Dateien über das Laden einer Webseite zu speichern und zu starten. Der Virus sucht auf allen vorhandenen Festplatten und Partitionen nach gespeicherten HTML-Dateien und bettet den VBScript-Code dort ein. Zusätzlich infiziert [1] [1]Win32.Rmnet.12 alle .exe-Dateien und kann sich selbständig auf Wechseldatenträger kopieren. Er speichert eine Autorun-Datei und einen Shortcut zu einer schädlichen Anwendung im Stammverzeichnis angeschlossener Wechseldatenträger, wodurch das automatische Ausführen des Schadcodes möglich wird.

Mehr als 1,4 Millionen Hosts

Das aus mit [1]Win32.Rmnet.12 infizierten Hostrechnern bestehende Botnetz wurde von Doctor Web bereits 2011 identifiziert, als die Analysten auf das erste Virensample stießen. Sie entschlüsselten daraufhin die Namen der Control-Server, die im disassemblierten Code von [1] [1]Win32.Rmnet.12 gefunden wurden. Danach entschlüsselten die Analysten das Protokoll, das für die Kommunikation zwischen Bots und Control Servern benutzt wurde und die Kontrolle über die Bots ermöglichte. Am 14. Februar kreierten die Analysten ein Sinkhole, registrierten Domain-Namen verschiedener Server, die eines der [1] [1]Win32.Rmnet.12-Netzwerke kontrollierten und erhielten so volle Kontrolle über das Botnetz. Ende Februar wurde ein weiteres [1] Win32.Rmnet.12-Subnetz auf diesem Weg gehijackt. Zu Beginn war die Anzahl der Bots relativ gering und erreichte einige Hunderttausend, jedoch stieg die Zahl weiter an. Am 15. April umfasste das [1] [1]Win32.Rmnet.12 Botnetz bereits 1.400.520 Hosts und wuchs stetig weiter.

[1] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[2] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[3] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[4] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[5] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[6] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[7] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[8] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[9] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[10] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[11] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[12] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[13] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[14] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[15] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[16] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[17] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[18] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[19] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[20] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[21] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[22] http://vms.drweb.com/search/?q=Win32.Rmnet.12_
[23] http://vms.drweb.com/search/?q=Win32.Rmnet.12_

Verwandte Artikel