News
20.04.2012, 12:50 Uhr
Schadprogramm kontrollierte eine Million PCs
Sicherheitsexperten warnen vor einem Backdoor, der bereits über eine Million Windows-Rechner infiziert und zu Mitgliedern eines Botnetzes gemacht haben soll.
Die Sicherheitsexperten von Doctor Web haben einen neuen Schädling entdeckt, der Windows-Rechner befällt. Der Schädling wurde auf den Namen Win32.Rmnet.12 getauft. Der neue Backdoor soll bereits über eine Million Rechner infiziert haben, die dadurch zu Mitgliedern eines Botnetzes geworden sind.
Bei Win32.Rmnet.12 handelt es sich um einen Backdoor, der eine versteckte Verbindung auf dem PC öffnet, durch die einen Angreifer Zugriff auf den Rechner. Laut Doctor Web stiehlt der Schädling Passwörter von populären FTP-Clients, die später für Netzwerkattacken oder zur Infizierung von Websites genutzt werden könnten. «Win32.Rmnet.12 verarbeitet Befehle von einem Remote-Server, die unter Umständen das Betriebssystem lahm legen können», so Doctor Web.
Bei Win32.Rmnet.12 handelt es sich um einen Backdoor, der eine versteckte Verbindung auf dem PC öffnet, durch die einen Angreifer Zugriff auf den Rechner. Laut Doctor Web stiehlt der Schädling Passwörter von populären FTP-Clients, die später für Netzwerkattacken oder zur Infizierung von Websites genutzt werden könnten. «Win32.Rmnet.12 verarbeitet Befehle von einem Remote-Server, die unter Umständen das Betriebssystem lahm legen können», so Doctor Web.
Bei der Infizierung eines Rechners überprüft der Schädling, welcher Standard-Browser auf dem Rechner installiert ist und injiziert seinen schädlichen Code in den Browser-Prozess. Danach nutzt der Schädling die Festplatten-Seriennummer, um für sich einen Dateinamen zu generieren und speichert sich selbst dann im Autorun-Ordner ab. Schliesslich startet die Schadensroutine einen FTP-Server, verbindet sich damit mit einem Control-Server und wartet auf Befehle der Angreifer. Eine weitere Komponente des Schädlings stiehlt Passwörter für populäre FTP-Clients wie WS FTP, CuteFTP und FileZilla.
Die gute Nachricht: Die Sicherheitsexperten verfolgen den Schädling bereits seit September 2011 und konnten mittlerweile die volle Kontrolle über das von Win32.Rmnet.12 angelegte Netzwerk erlangen. Dadurch haben die Angreifer keinerlei Zugriff mehr auf das Netzwerk und können so auch die infizierten Rechner nicht mehr angreifen. Windows-Nutzer sollten mittels einer aktuellen Antiviren-Software überprüfen, ob ihr Rechner mit dem Schädling infiziert wurde. Zu Beginn war die Anzahl der infizierten Rechner noch relativ gering. Mittlerweile, so Dr. Web, soll das Botnetz aber über 1,4 Millionen Hosts umfassen.
Der Grossteil der infizierten Computer befindet sich aber im asiatischen Raum, speziell in Indonesien. Auch verschiedene afrikanische Länder und Russland waren stark betroffen. Hingegen scheint sich der Schädling in Europa weniger erfolgreich verbreitet zu haben.
Der Grossteil der infizierten Computer befindet sich aber im asiatischen Raum, speziell in Indonesien. Auch verschiedene afrikanische Länder und Russland waren stark betroffen. Hingegen scheint sich der Schädling in Europa weniger erfolgreich verbreitet zu haben.
Kommentare
Es sind keine Kommentare vorhanden.