Win32.Rmnet.12: Doctor Web entdeckt neues Botnet

Der Security-Spezialist Doctor Web hat ein neues Botnetz identifiziert. Der Virus Win32.Rmnet.12 agiert als Backdoor und stiehlt unter anderem Passwörter, die auf FTP-Clients gespeichert sind. Er verbreitet sich über verschiedene Wege wie Browser-Schwachstellen.

Doctor Web hat ein neues Botnetz entdeckt, Foto: pixeltrap/Fotolia

Der Spezialist für Antiviren-Software, Doctor Web, hat ein neues Botnet entdeckt. Diesmal hat der Virus Win32.Rmnet.12 ein Botnetz mit mehr als einer Million Windows-Rechnern infiziert. Win32.Rmnet.12 agiert als Backdoor und stiehlt Passwörter, die auf populären FTP-Clients gespeichert sind. Die Passwörter könnten später dazu benutzt werden, um Netzwerk-Attacken zu planen und Webseiten zu infizieren, warnt Doctor Web. Win32.Rmnet.12 verarbeitet dabei Befehle von einem Remote-Server, die unter Umständen das Betriebssystem lahm legen können.

»Erste Einträge zu Win32.Rmnet.12 in unsere Virus-Datenbank erfolgten bereits im September 2011. Seitdem verfolgen unsere Analysten die Entwicklung. Der Virus greift Computer auf verschiedene Arten an - über infizierte Speichergeräte, mit infizierten auszuführenden Dateien oder unter Nutzung spezieller Skripts, die in HTML-Dokumente eingebettet sind. Wir haben mittlerweile volle Kontrolle über das virale Netzwerk von Win32.Rmnet.12, sodass Angreifer keinen Zugriff mehr auf infizierte Computer haben«, sagt Pierre Curien, Geschäftsführer für Deutschland bei Doctor Web.

Win32.Rmnet.12 ist nach Angabe von Doctor Web ein komplexer Multikomponenten-Virus, der aus verschiedenen Modulen besteht und sich selbst vervielfältigen kann. Beim Eindringen in ein System überprüft Win32.Rmnet.12, welcher Browser als Standard-Browser installiert ist und injiziert seinen Code in den Browser-Prozess.

Falls der Standard-Browser nicht identifiziert werden kann, attackiert der Virus den Microsoft Internet Explorer. Dann benutzt er die Festplatten-Seriennummer, um seinen eigenen File-Namen zu generieren, speichert sich selbst im Autorun-Ordner des jeweiligen Users und vergibt das Attribut »hidden« an die von ihm erzeugte Kopie. Die Virus-Konfiguration wird im gleichen Ordner gespeichert. Danach nutzt der Virus eine in ihm enthaltene Funktion, um den Namen eines Control-Servers zu bestimmen. Anschließend versucht er, sich mit diesem zu verbinden.

Übersicht