Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Nuovo modulo della botnet Rmnet disattiva gli antivirus

23 maggio 2013

Doctor Web — produttore degli antivirus Dr.Web — informa che nella botnet esistente Rmnet sono comparsi due moduli nuovi, uno dei quali permette ai malintenzionati di disattivare programmi antivirali installati sul computer vittima. Doctor Web ha potuto prendere il controllo di una delle sottoreti di Rmnet in cui funzionano questi moduli malevoli.

In precedenza, Doctor Web avvisava della vasta diffusione dei file virus Win32.Rmnet.12 e Win32.Rmnet.16 che sono capaci di organizzare reti dannose. Ricordiamo ai nostri lettori che Win32.Rmnet sono programmi del genere “file virus”, sono composti da più moduli e possono propagarsi da soli. Le funzioni principali di questi malware permettono di incorporare contenuti fraudolenti nelle pagine web visualizzate dall’utente (web injection), reindirizzare il browser ai siti creati dai truffatori e inviare sui server remoti le informazioni digitate dall’utente in formulari sul web. I virus “Rmnet” possono anche rubare password di accesso a diversi client FTP, quali, per esempio, Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla e Bullet Proof FTP.

Gli specialisti di Doctor Web hanno potuto intercettare una sottorete di Win32.Rmnet (in aggiunta a quelle già controllate) utilizzando il metodo “sinkhole”. Abbiamo osservato che in questa sottorete si propagano due moduli malevoli nuovi che abbiamo chiamato con il nome generale Trojan.Rmnet.19. Uno di questi moduli cerca macchine virtuali in uso sul computer infetto, mentre l’altro è di particolare interesse. Emulando le azioni dell’utente (clic con il mouse su icone corrispondenti) questo modulo malevolo disattiva gli antivirus Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender, AVG installati sugli elaboratori compromessi.

Se il computer bersaglio è protetto dall’antivirus Dr.Web, non corre alcun rischio che la protezione venga disabilitata perché i nostri software prevedono l’inserimento del codice CAPTCHA e Trojan.Rmnet.19 non riesce ad oltrepassare questa misura preventiva.

screen

Esaminando la sottorete intercettata abbiamo visto che il virus scarica dal server di gestione sul computer infetto sette moduli, cioè:

  • un modulo nuovo che può disattivare programmi antivirali;
  • un modulo che ruba cookies;
  • un server FTP locale;
  • un modulo studiato per eseguire web injection;
  • un modulo studiato per rubare password dei client FTP;
  • un modulo nuovo che può scoprire la presenza delle macchine virtuali;
  • un modulo utilizzato dai malintenzionati per avere accesso remoto al sistema infettato.

Oltre a questi moduli, i file virus “Rmnet” includono i componenti base:

  • un componente che carica altri moduli nella memoria del computer;
  • un backdoor;
  • un modulo che rimuove programmi antivirus.

Secondo i dati del 22 maggio 2013, oltre 18.000 mila computer infetti si sono connessi al server di gestione intercettato da Doctor Web. Analizzando i dati statistici raccolti, possiamo concludere che i pirati informatici hanno scelto il Regno Unito e Irlanda come il loro target principale. Così 15.253 computer infetti (84,5%) si trovano su questo territorio, mentre il secondo posto nella statistica è occupato dalla Francia in cui abbiamo registrato 1.434 casi di infezione (7,9%). Seguiamo con attenzione gli sviluppi della situazione.

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A