«Доктор
Веб» предупреждает, бойтесь проказ Rmnet, который обзавелся парой новых
модулей. Бот-сеть стала зубастее и опасней. Злоумышленникам теперь под силу
отключать любое антивирусное ПО в зараженном компьютере. Специалистам «Доктор
Веб» удалось перехватить управление одной из подсетей Rmnet, чтобы взглянуть
врагу в глаза.
Вредоносные
программы семейства Win32.Rmnet – это многокомпонентные файловые вирусы,
обладающие талантом самостоятельного распространения. Тело заразы составлено из
нескольких модулей. Основной вредоносный функционал позволяет встраивать в
просматриваемые веб-страницы посторонний контент. В результате вас перенаправят
на указанные злоумышленниками сайты, передает на удаленные узлы или сервера содержимое
заполняемых форм. Осторожно, вирусы семейства Rmnet способны красть пароли от
популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP,
FileZilla и Bullet Proof FTP.
Специалисты «Доктор Веб» перехватили еще одну
подсеть Win32.Rmnet, использовав в качестве инструмента известного метода
sinkhole. Были обнаружены два модуля заразы Trojan.Rmnet.19. Один вынюхивает на
зараженном компьютере виртуальные машины, второй намного опаснее. Он ловко отключает любые антивирусы: Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast,
Bitdefender, AVG.
Всего в данной подсети вирус загружает семь
вредоносных модулей:
- новый модуль, позволяющий отключать антивирусные программы;
- модуль для кражи файлов cookies;
- локальный FTP-сервер;
- модуль для выполнения веб-инжектов;
- модуль для кражи паролей от FTP-клиентов;
- новый модуль, позволяющий детектировать наличие виртуальных машин;
- модуль для организации удаленного доступа к инфицированной системе.
Дополнительно файловые вирусы семейства Rmnet
содержат компонент позволяющий загружать компонеты других модулей в память;
модуль бэкдора; модуль для удаления антивирусных программ.
Комментариев нет :
Отправить комментарий
Нам важно знать ваше мнение, поэтому пишите, что думаете, но придерживаясь правил и норм литературного русского языка.