Nuovo modulo della botnet Rmnet disattiva gli antivirus

Doctor Web — produttore degli antivirus Dr.Web — informa che nella botnet esistente Rmnet sono comparsi due moduli nuovi, uno dei quali permette ai malintenzionati di disattivare programmi antivirali installati sul computer vittima. Doctor Web ha potuto prendere il controllo di una delle sottoreti di Rmnet in cui funzionano questi moduli malevoli.

In precedenza, Doctor Web avvisava della vasta diffusione dei file virus Win32.Rmnet.12 e Win32.Rmnet.16 che sono capaci di organizzare reti dannose. Ricordiamo ai nostri lettori che Win32.Rmnet sono programmi del genere “file virus”, sono composti da più moduli e possono propagarsi da soli. Le funzioni principali di questi malware permettono di incorporare contenuti fraudolenti nelle pagine web visualizzate dall’utente (web injection), reindirizzare il browser ai siti creati dai truffatori e inviare sui server remoti le informazioni digitate dall’utente in formulari sul web. I virus “Rmnet” possono anche rubare password di accesso a diversi client FTP, quali, per esempio, Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla e Bullet Proof FTP.

Gli specialisti di Doctor Web hanno potuto intercettare una sottorete di Win32.Rmnet (in aggiunta a quelle già controllate) utilizzando il metodo “sinkhole”. Abbiamo osservato che in questa sottorete si propagano due moduli malevoli nuovi che abbiamo chiamato con il nome generale Trojan.Rmnet.19. Uno di questi moduli cerca macchine virtuali in uso sul computer infetto, mentre l’altro è di particolare interesse. Emulando le azioni dell’utente (clic con il mouse su icone corrispondenti) questo modulo malevolo disattiva gli antivirus Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender, AVG installati sugli elaboratori compromessi.

Se il computer bersaglio è protetto dall’antivirus Dr.Web, non corre alcun rischio che la protezione venga disabilitata perché i nostri software prevedono l’inserimento del codice Captcha e Trojan.Rmnet.19 non riesce ad oltrepassare questa misura preventiva.

Esaminando la sottorete intercettata abbiamo visto che il virus scarica dal server di gestione sul computer infetto sette moduli, cioè: 

• un modulo nuovo che può disattivare programmi antivirali; 
• un modulo che ruba cookies; 
• un server FTP locale; 
• un modulo studiato per eseguire web injection; 
• un modulo studiato per rubare password dei client FTP; 
• un modulo nuovo che può scoprire la presenza delle macchine virtuali; 
• un modulo utilizzato dai malintenzionati per avere accesso remoto al sistema infettato. 

Oltre a questi moduli, i file virus “Rmnet” includono i componenti base: 

• un componente che carica altri moduli nella memoria del computer; 
• un backdoor; 
• un modulo che rimuove programmi antivirus. 

Secondo i dati del 22 maggio 2013, oltre 18.000 mila computer infetti si sono connessi al server di gestione intercettato da Doctor Web. Analizzando i dati statistici raccolti, possiamo concludere che i pirati informatici hanno scelto il Regno Unito e Irlanda come il loro target principale. Così 15.253 computer infetti (84,5%) si trovano su questo territorio, mentre il secondo posto nella statistica è occupato dalla Francia in cui abbiamo registrato 1.434 casi di infezione (7,9%). Seguiamo con attenzione gli sviluppi della situazione.

Fonte: http://www.freedrweb.com/show/?i=3551&c=19&lng=it