Virus Rmnet.12 infiziert fast 1,5 Millionen Windows-Rechner

Win32.Rmnet.12 verarbeitet Befehle von einem Remote-Server, die unter Umständen das Betriebssystem lahm legen können. Win32.Rmnet.12 ist ein komplexes Multikomponenten-Virus, der sich selbst vervielfältigen kann.

Das Virus verbreitet sich laut Doctor Web über infizierte Speichergeräte, mit infizierten auszuführenden Dateien oder unter Nutzung spezieller Skripts, die in HTML-Dokumente eingebettet sind. Win32.Rmnet.12 sucht auf allen vorhandenen Festplatten und Partitionen nach gespeicherten HTML-Dateien und bettet den VBScript-Code dort ein. Zusätzlich infiziert das Virus alle .exe-Dateien und kann sich selbständig auf Wechseldatenträger kopieren. Er speichert eine Autorun-Datei und einen Shortcut zu einer schädlichen Anwendung im Stammverzeichnis angeschlossener Wechseldatenträger, wodurch das automatische Ausführen des Schadcodes möglich wird. (siehe auch Windows-Praxis: USB-Nutzung per Gruppenrichtlinie reglementieren).

Beim Eindringen in ein System injiziert Win32.Rmnet.12 seinen Code in den Browser-Prozess des Standard-Browsers. Falls der Browser nicht identifiziert werden kann, attackiert das Virus den Microsoft Internet Explorer. Dann benutzt er die Festplatten-Seriennummer, um seinen eigenen File-Namen zu generieren, speichert sich selbst im Autorun-Ordner des jeweiligen Users und vergibt das Attribut "hidden" an die von ihm erzeugte Kopie. Die Virus-Konfiguration wird im gleichen Ordner gespeichert. Danach nutzt das Virus eine in ihm enthaltene Funktion, um den Namen eines Control-Servers zu bestimmen. Anschließend versucht er, sich mit diesem zu verbinden.

Eine der Viruskomponenten ist eine Backdoor. Nach dem Eindringen versucht sie, die Geschwindigkeit der Internet-Verbindung zu bestimmen. Sie sendet Anfragen an google.com, bing.com und yahoo.com in 70-Sekunden-Intervallen und analysiert die Antworten. Anschließend startet Win32.Rmnet.12 einen FTP-Server auf der infizierten Maschine, verbindet sich mit einem Remote-Server und überträgt die Informationen über das infizierte System an die Eindringlinge. Die Backdoor kann vom Remote-Server empfangene Befehle ausführen, im Speziellen um beliebige Dateien herunterzuladen und auszuführen, sich selbst zu aktualisieren, Screenshots zu erstellen und diese zu den Angreifern zu senden und schließlich das Betriebssystem lahmzulegen.

Eine weitere Viruskomponente stiehlt Passwörter, die auf populären FTP-Clients gespeichert sind. Angriffsziele sind beispielsweise Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla und Bullet Proof FTP. Diese Information kann später dazu genutzt werden, um Attacken auf Netzwerke auszuführen oder weitere Malware auf Remote-Servern zu platzieren. Außerdem durchsucht Win32.Rmnet.12 die Cookies des Users, sodass die Angreifer Zugang zu Accounts des Users erhalten können, die eine Authentifizierung voraussetzen.

Zusätzlich kann diese Komponente den Zugang zu bestimmten Seiten blockieren und den User zu einer Webseite umleiten, die von den Virenautoren kontrolliert wird. Eine der Win32.Rmnet.12-Modifikationen ist in der Lage, mittels Web-Injections Informationen über Bankkonten zu stehlen.

Um eine Infektion durch Win32.Rmnet.12 zu verhindern, sollten Sie eine aktuelle Antiviren-Software benutzen und deren Viren-Signaturen aktuell halten. Von Doctor Web gibt es kostenlose Lösungen zum Entfernen des Schädlings: Dr.Web CureIt! (für den privaten Gebrauch gratis) oder die die Live-CD von Dr.Web. (mec)