Методы обнаружения вирусов

Trojan.Rmnet крадет пароли от ftp-клиентов, заражая MBR

16 июня 2011 года

Компания "Доктор Веб" сообщает о появлении новой модификации уже известного семейства вредоносного ПО Win32.Rmnet, способной заражать главную загрузочную запись (MBR). Благодаря этому Trojan.Rmnet запускается раньше установленного на компьютере антивируса, что значительно затрудняет детектирование и локализацию угрозы. Основное назначение этого троянца – кража паролей от популярных ftp-клиентов.


Trojan.Rmnet проникает на компьютер посредством зараженных флеш-накопителей или при запуске инфицированных исполняемых файлов. Иными словами, распространяется, как типичный вирус, поскольку обладает способностью к саморепликации – копированию самого себя без участия пользователя. Троянец инфицирует файлы с расширениями .exe, .dll, .scr, .html, .htm, а в некоторых случаях — .doc и xls, при этом программа способна создавать на съемных накопителях файл autorun.inf. Непосредственно после своего запуска троянец модифицирует главную загрузочную запись, регистрирует системную службу Micorsoft Windows Service (она может играть в операционной системе роль руткита), пытается удалить сервис RapportMgmtService и встраивает в систему несколько вредоносных модулей, отображающихся в Диспетчере задач Windows в виде четырех строк с заголовком iexplore.exe.

Главная функция троянца – поиск и похищение паролей от наиболее популярных среди пользователей ftp-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP. Эта информация впоследствии может быть использована злоумышленниками для реализации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. Как минимум, при помощи указанных сведений вирусописатели смогут получить доступ к хранящимся на пользовательских сайтах папкам и файлам, удалить или изменять их. Кроме того, вредоносные модули Trojan.Rmnet могут осуществлять мониторинг сетевого трафика и реализовывать функционал бэкдора.

Согласно статистике компании «Доктор Веб» данная вредоносная программа не менее месяца находится в «топе» выявленных угроз. Чтобы защититься от Trojan.Rmnet, пользователю достаточно провести экспресс-сканирование системы с помощью Dr.Web, который автоматически исправит поврежденную загрузочную запись, вылечит инфицированные файлы и удалит зараженную службу.

По данным компании «Доктор Веб»

НОВОЕ НА САЙТЕ

19 февраля 2019 года

Специалисты корпорации Доктор Веб» находят в каталоге гугл Play шабаш более троянцев семейства Android.HiddenAds, специализированных для показа назойливой рекламы. С основания февраля было выявлено почитай 40 новеньких трансформаций... Горячая лента угроз и предупреждений о вирусной опасности!

19 февраля 2019 года

Компания «Доктор Веб» информирует о возвращении набора «Малый бизнес» в витрину интернет-магазина estore.drweb.ru. Благодаря Телепорту Dr.Web стать воспользоваться продуктами набора можно моментально же далее покупки, закончить дожидаясь п... Антивирус Dr.Web

18 февраля 2019 года

Компания «Доктор Веб» воображает листовку о обороне индивидуальных данных, которая объясняет основополагающие положения законодательства о обороне ПД.

Тема обороны индивидуальных заданных у любых на слуху, однако коли закончить исследовать данный проблема преднамеренно — в заинтересованностях бизнеса либо... Антивирус Dr.Web

18 февраля 2019 года

Компания «Доктор Веб» информирует о состоявшемся продлении срока деяния сертификата соответствия ФСТЭК нашей родины №3509 на продовольствие комплекса Dr.Web Enterprise Security Suite.

Бизнес-продукты Dr.Web – с продленным сроком деяния сертификата соответствия ФСТЭК РоссииАнтивирус Dr.Web

15 февраля 2019 года

Компания «Доктор Веб» информирует о смене раньше обновленного обслуживания перехвата трафика Dr.Web Net-filtering Service (12.0.3.01221) на версию 12.0.1.10260 в продуктах Dr.Web Security Space 12.0 так что Антивирус Dr.Web 12.0.

Антивирус Dr.Web