Im Web ist lt. Doctor Web ein neues und gefährliches Botnetz aufgetaucht. Mit dem Virus Win32.Rmnet.12 wurde bereits ein Botnetz mit mehr als einer Million Windows-Rechnern infiziert.
Win32.Rmnet.12 agiert als Backdoor und stiehlt Passwörter, die auf populären FTP-Clients gespeichert sind. Die Passwörter könnten später dazu benutzt werden, um Netzwerk-Attacken zu planen und Webseiten zu infizieren. Der Virus Win32.Rmnet.12 verarbeitet Befehle von einem Remote-Server, die es sogar schaffen das ganze Betriebssystem lahm zu legen.
Wenn der Rechner infiziert ist, greift der Virus Ihr System so an:
Win32.Rmnet.12 ist sehr modern und ein komplexer Multikomponenten-Virus, der aus verschiedenen Modulen besteht und sich selbst vervielfältigen kann. Beim Eindringen in ein System überprüft Win32.Rmnet.12, welcher Browser als Standard-Browser installiert ist und injiziert seinen Code in den Browser-Prozess. Dagegen sollte Ihr professionelles Antivirenprogramm allerdings schützen. Für den Fall, dass der Standard-Browser (z.B. Firefox, Chrome, usw. nicht identifiziert werden kann, attackiert der Virus den Microsoft Internet Explorer. Deshalb ist es Super wichtig, immer die aktuellste Internet-Explorer Version zu verwenden und regelmäßig die Sicherheitsupdates einzuspielen. Sollte der Prozess Internet Explorer, oder auch der eigentliche Standardbrowser erfolgreich infiziert sein, benutzt der Virus die Festplatten-Seriennummer, um seinen eigenen File-Namen zu generieren. Anschließend speichert er sich selbst im Autorun-Ordner des jeweiligen Users und vergibt das Attribut versteckt, damit der Benutzer es nicht so leicht entdecken kann.
In der Virus-Konfiguration, die sich dann im wird im gleichen Ordner befindet, steht die Anweisung um sich mit dem Control-Server zu verbinden und seine Arbeit aufzunehmen.
Quelle: Doctor Web
