20.04.2012, 14:09

Panagiotis Kolokythas

Win32.Rmnet.12

Schädling infiziert über 1 Millionen Windows-Rechner

Win32.Rmnet.12 ©istockphoto.com/barisonal

Sicherheitsexperten warnen vor einem Backdoor, der bereits über eine Million Windows-Rechner infiziert und zu Mitgliedern eines Botnetzes gemacht haben soll.
Die Sicherheitsexperten von Doctor Web haben einen neuen Schädling entdeckt, der Windows-Rechner befällt und diesen auf den Namen Win32.Rmnet.12 getauft. Der neue Backdoor soll bereits über eine Million Rechner infiziert haben, die zu Mitgliedern eines Botnetzes geworden sind.
Bei Win32.Rmnet.12 handelt es sich um einen Backdoor, der eine versteckte Verbindung auf dem PC öffnet, durch die ein Angreifer Zugriff auf den Rechner bekommt beziehungsweise durch den Daten vom Rechner zum Backdoor-Programmierer fließen können. Laut Doctor Web stiehlt Win32.Rmnet.12 Passwörter auf populären FTP-Clients, die später für Netzwerk-Attacken oder zur Infizierung von Websites genutzt werden könnten. "Win32.Rmnet.12 verarbeitet Befehle von einem Remote-Server, die unter Umständen das Betriebssystem lahm legen können", so Doctor Web.
Bei der Infizierung eines Rechners überprüft Win32.Rmnet.12, welcher Standard-Browser auf dem Rechner installiert ist und injiziert seinen schädlichen Code in den Browser-Prozess. Danach nutzt der Schädling die Festplatten-Seriennummer, um für sich einen Dateinamen zu generieren und speichert sich selbst dann in den Autorun-Ordner. Schließlich startet die Schadensroutine einen FTP-Server, verbindet sich damit mit einem Control-Server und wartet auf Befehle der Angreifer. Eine weitere Komponente des Schädlings stiehlt Passwörter für populäre FTP-Clients wie WS FTP, CuteFTP und FileZilla.
Die gute Nachricht: Die Sicherheitsexperten verfolgen den Schädling bereits seit September 2011 und konnten mittlerweile die volle Kontrolle über das von Win32.Rmnet.12 angelegte Netzwerk erlangen. Dadurch haben die Angreifer keinerlei Zugriff mehr auf das Netzwerk und können auch so die infizierten Rechner nicht mehr angreifen. Windows-Nutzer sollten mittels einer aktuellen Antiviren-Software überprüfen, ob ihr Rechner vom Schädling infiziert wurde. Zu Beginn war die Anzahl der infizierten Rechner noch relativ gering. Mittlerweile, so Dr. Web, soll das Win32.Rmnet.12-Botnetz aber über 1,4 Millionen Hosts umfassen (Stand: Mitte April).
Kommentare zu diesem Artikel (3)
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

1443987
Content Management by InterRed