Neues Botnetz! Mehr als eine Million Windows-Rechner infiziert.

Und noch ein Fund.

Doctor Web hat erneut ein Botnet entdeckt. Diesmal hat der Virus Win32.Rmnet.12 ein Botnetz mit mehr als einer Million Windows-Rechnern infiziert.

Win32.Rmnet.12 agiert als Backdoor und stiehlt Passwörter, die auf populären FTP-Clients gespeichert sind. Die Passwörter könnten später dazu benutzt werden, um Netzwerk-Attacken zu planen und Webseiten zu infizieren. Win32.Rmnet.12 verarbeitet Befehle von einem Remote-Server, die unter Umständen das Betriebssystem lahm legen können.

So greift der Virus das System an:
Win32.Rmnet.12 ist ein komplexer Multikomponenten-Virus, der aus verschiedenen Modulen besteht und sich selbst vervielfältigen kann. Beim Eindringen in ein System überprüft Win32.Rmnet.12, welcher Browser als Standard-Browser installiert ist und injiziert seinen Code in den Browser-Prozess.

Falls der Standard-Browser nicht identifiziert werden kann, attackiert der Virus den Microsoft Internet Explorer. Dann benutzt er die Festplatten-Seriennummer, um seinen eigenen File-Namen zu generieren, speichert sich selbst im Autorun-Ordner des jeweiligen Users und vergibt das Attribut hidden an die von ihm erzeugte Kopie. Die Virus-Konfiguration wird im gleichen Ordner gespeichert. Danach nutzt der Virus eine in ihm enthaltene Funktion, um den Namen eines Control-Servers zu bestimmen. Anschließend versucht er, sich mit diesem zu verbinden.

Quelle: Doctor Web
Information zu Weiterempfehlungen Einstellungen für Weiterempfehlungen
 auf anderen Webseiten Senden
10 Kommentare zum Beitrag
446
Klaus Weil aus Wesel am 28.04.2012 um 14:21 Uhr  
5.231
Lothar Dierkes aus Goch am 28.04.2012 um 14:24 Uhr  
5.231
Lothar Dierkes aus Goch am 28.04.2012 um 14:25 Uhr  
1.943
Rainer Ise aus Weeze am 28.04.2012 um 22:07 Uhr  
9.759
Monika Meurs aus Moers am 28.04.2012 um 22:16 Uhr  
5.231
Lothar Dierkes aus Goch am 29.04.2012 um 00:30 Uhr  
7
Inga Schmitz aus Hamminkeln am 29.04.2012 um 08:26 Uhr  
446
Klaus Weil aus Wesel am 29.04.2012 um 12:32 Uhr  
806
Joerg Hessbrueggen aus Wesel am 30.04.2012 um 11:55 Uhr  
5.231
Lothar Dierkes aus Goch am 30.04.2012 um 13:55 Uhr  
Schon dabei? Hier anmelden!
Schreiben Sie einen Kommentar zum Beitrag:
Spam und Eigenwerbung sind nicht gestattet.
Mehr dazu in unserem Verhaltenskodex.

Meistgelesene Beiträge des Autors

1 Bild

Trojaner-Alarm: Schadsoftware tarnt sich als Rechnung von flirt-fever.de! 5

Joerg Hessbrueggen aus Wesel | am 06.06.2012

Die Verbraucherzentrale warnt vor E-Mails, die angeblich von dem Dienst flirt-fever.de des Unternehmens Prebyte Media GmbH stammen. Betroffen sind sowohl ehemalige und derzeitige Kunden des Unternehmens als auch Verbraucher, die noch keinen Kontakt mit diesem Seitenbetreiber hatten. Das Schreiben gibt vor, dass noch Forderungen in dreistelliger Höhe für die Nutzung des Kontaktportals ausstehen. Die auf den ersten...

1 Bild

Flame startet Selbstzerstörung! 6

Joerg Hessbrueggen aus Wesel | am 08.06.2012

Um ihre Spuren zu verwischen, haben die staatlichen Betreiber der Cyberwaffe Flame ein neues Selbstzerstörungsmodul versandt und gestartet. Die Entwickler der Cyberwaffe Flame haben einen Selbstzerstörungsmechanismus gestartet. Das gaben Sicherheitsexperten von Symantec bekannt. Kompromittierte Computer wurden angewiesen, eine Komponente zu installieren und auszuführen, die alle Spuren der Schadsoftware zerstören...

1 Bild

ACHTUNG! Falle! NTT Telco Inkasso verschickt derzeit bundesweit Zahlungsaufforderungen! 1

Joerg Hessbrueggen aus Wesel | am 22.11.2011

Mit massiven Einschüchterungen verunsichert derzeit das Inkassounternehmen NTT Telco aus Wiesbaden Verbraucher landauf, landab. Die Firma versucht am Telefon und per Post, vermeintliche Teilnehmer an den dubiosen Gewinnspieleintragsdiensten Winfinder und Windienst zur Zahlung von Beträgen zwischen 99 und 178 Euro zu bewegen. Post von Milosevic! Bei den Verbraucherzentralen häufen sich die Fälle, in denen Betroffene...