Win32.Rmnet.12

Schädling infiziert über 1 Millionen Windows-Rechner

Freitag, 20.04.2012 | 14:09 von Panagiotis Kolokythas
Win32.Rmnet.12
Vergrößern Win32.Rmnet.12
© istockphoto.com/barisonal
Sicherheitsexperten warnen vor einem Backdoor, der bereits über eine Million Windows-Rechner infiziert und zu Mitgliedern eines Botnetzes gemacht haben soll.
Die Sicherheitsexperten von Doctor Web haben einen neuen Schädling entdeckt, der Windows-Rechner befällt und diesen auf den Namen Win32.Rmnet.12 getauft. Der neue Backdoor soll bereits über eine Million Rechner infiziert haben, die zu Mitgliedern eines Botnetzes geworden sind.

Bei Win32.Rmnet.12 handelt es sich um einen Backdoor , der eine versteckte Verbindung auf dem PC öffnet, durch die ein Angreifer Zugriff auf den Rechner bekommt beziehungsweise durch den Daten vom Rechner zum Backdoor-Programmierer fließen können. Laut Doctor Web stiehlt Win32.Rmnet.12 Passwörter auf populären FTP-Clients, die später für Netzwerk-Attacken oder zur Infizierung von Websites genutzt werden könnten. "Win32.Rmnet.12 verarbeitet Befehle von einem Remote-Server, die unter Umständen das Betriebssystem lahm legen können", so Doctor Web.

Bei der Infizierung eines Rechners überprüft Win32.Rmnet.12, welcher Standard-Browser auf dem Rechner installiert ist und injiziert seinen schädlichen Code in den Browser-Prozess. Danach nutzt der Schädling die Festplatten-Seriennummer, um für sich einen Dateinamen zu generieren und speichert sich selbst dann in den Autorun-Ordner. Schließlich startet die Schadensroutine einen FTP-Server, verbindet sich damit mit einem Control-Server und wartet auf Befehle der Angreifer. Eine weitere Komponente des Schädlings stiehlt Passwörter für populäre FTP-Clients wie WS FTP, CuteFTP und FileZilla.

Die gute Nachricht: Die Sicherheitsexperten verfolgen den Schädling bereits seit September 2011 und konnten mittlerweile die volle Kontrolle über das von Win32.Rmnet.12 angelegte Netzwerk erlangen. Dadurch haben die Angreifer keinerlei Zugriff mehr auf das Netzwerk und können auch so die infizierten Rechner nicht mehr angreifen. Windows-Nutzer sollten mittels einer aktuellen Antiviren-Software überprüfen, ob ihr Rechner vom Schädling infiziert wurde. Zu Beginn war die Anzahl der infizierten Rechner noch relativ gering. Mittlerweile, so Dr. Web, soll das Win32.Rmnet.12-Botnetz aber über 1,4 Millionen Hosts umfassen (Stand: Mitte April).

Freitag, 20.04.2012 | 14:09 von Panagiotis Kolokythas
Kommentieren Kommentare zu diesem Artikel (3)
1443987