Новый модуль ботсети Rmnet отключает Microsoft Security Essential

image

Теги: Доктор Веб, ботсеть

В общей сложности на компьютер жертвы Rmnet загружается семь вредоносных модулей.

Компания «Доктор Веб» обнаружила два новых модуля ботсети Rmnet. Основной вредоносный функционал первоначального варианта ботсети встраивал в просматриваемые веб-страницы посторонний контент, перенаправлял пользователя на указанные злоумышленниками сайты, а также передавал на удаленные узлы содержимое заполняемых жертвой форм. 

Новые модули выполняют другие задачи. Первый из них предназначен для детектирования на инфицированном компьютере виртуальных машин, а второй – эмулирует действия пользователей (а именно нажатия на соответствующие значки мышью) и отключает на инфицированной машине антивирусы Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender и AVG.

Если пользователь становится жертвой вируса, относящегося к одной из подсетей Rmnet, то на его компьютер загружается семь вредоносных модулей:

  • новый модуль, позволяющий отключать антивирусные программы;
  • модуль для кражи файлов cookies;
  • локальный FTP-сервер;
  • модуль для выполнения веб-инжектов;
  • модуль для кражи паролей от FTP-клиентов;
  • новый модуль, позволяющий детектировать наличие виртуальных машин;
  • модуль для организации удаленного доступа к инфицированной системе.

Файловые вирусы семейства Rmnet также содержат такие базовые компоненты, как компонент для загрузки других модулей, модуль бэкдора и модуль для удаления антивирусных программ.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus