Ай Ком Сервис Новый Win32.Rmnet модифицирует MBR - 17 Июня 2011 - Ай Ком Сервис
Главная » 2011 » Июнь » 17 » Новый Win32.Rmnet модифицирует MBR
01:59
Новый Win32.Rmnet модифицирует MBR
Недавно в Сети появилась информация об обнаружении  новой модификации уже известного семейства вредоносного программного обеспечения Win32.Rmnet (классификация Dr.Web), способной заражать главную загрузочную запись (MBR). Благодаря этому Trojan.Rmnet запускается раньше установленного на компьютере антивируса, что значительно затрудняет детектирование и локализацию угрозы. Основной функционал троянца – кража паролей от популярных ftp-клиентов.  Проникает Trojan.Rmnet на компьютер посредством зараженных флеш-накопителей или при запуске инфицированных исполняемых файлов. Иными словами, распространяется, как типичный вирус, поскольку обладает способностью к саморепликации – копированию самого себя без участия пользователя. Троянец инфицирует файлы с расширениями .exe, .dll, .scr, .html, .htm, а в некоторых случаях — .doc и xls, при этом программа способна создавать на съемных накопителях файл autorun.inf. Непосредственно после своего запуска троянец модифицирует главную загрузочную запись, регистрирует системную службу Micorsoft Windows Service (она может играть в операционной системе роль руткита), пытается удалить сервис RapportMgmtService и встраивает в систему несколько вредоносных модулей, отображающихся в Диспетчере задач Windows в виде четырех строк с заголовком iexplore.exe.



Как мы уже сказали выше, главный функционыл данног троянца – это поиск и кража паролей от наиболее популярных среди пользователей ftp-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP. Эта информация впоследствии может быть использована злоумышленниками для реализации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. Как минимум, при помощи указанных сведений вирусописатели смогут получить доступ к хранящимся на пользовательских сайтах папкам и файлам, удалить или изменять их. Кроме того, вредоносные модули Trojan.Rmnet могут осуществлять мониторинг сетевого трафика и реализовывать функционал бэкдора.



Согласно статистике, которую приводит компания «Доктор Веб», данная вредоносная программа не менее месяца находится в «топе» выявленных угроз. Чтобы защититься от Trojan.Rmnet, пользователю достаточно провести экспресс-сканирование системы с помощью Dr.Web, который автоматически исправит поврежденную загрузочную запись, вылечит инфицированные файлы и удалит зараженную службу.







Категория: Интернет угрозы | Просмотров: 2306 | Добавил: Administrator | Теги: Win32.Rmnet, Trojan.Rmnet, FTP-клиент, загрузочная область, кража паролей, ftp, mbr, модификация MBR | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]