Botnet Rmnet immer noch aktiv
Doctor Web verfolgt immer noch die Aktivitäten von Subsystemen des durch den Dateivirus Rmnet aufgebauten Botnets insbesondere von Win32.Rmnet.12, das diesem seit 2011 angehört
Trotz vielfältiger Meldungen über den erfolgreichen Abschluss der vor kurzem durchgeführten Europol-Aktion, beobachten die Sicherheitsspezialisten von Doctor Web keinen Rückgang der Botnet-Aktivitäten
(07.04.15) - Medienberichten zufolge soll das Botnet Rmnet in einer von Europol koordinierten Großaktion deaktiviert worden sein. Im Einsatz befanden sich dabei Mitarbeiter der Abteilung für Cyber-Kriminalität der britischen Polizei in Zusammenarbeit mit Fahndern aus Deutschland, Italien und den Niederlanden. Dabei seien wohl mehrere Verwaltungsserver von Rmnet entdeckt und entschärft worden. Dennoch haben die Sicherheitsanalysten von Doctor Web festgestellt, dass das Botnet immer noch am Leben ist.
Die Sicherheitsspezialisten von Doctor Web verfolgen immer noch die Aktivitäten von Subsystemen des durch den Dateivirus Rmnet aufgebauten Botnets insbesondere von Win32.Rmnet.12, das diesem seit 2011 angehört. Win32.Rmnet.12 ist ein komplexer Dateivirus, der aus mehreren Modulen besteht und sich selbständig vervielfältigt. Er kann durch Befehle von außen gesteuert werden, böswillige Inhalte in Webseiten integrieren - was dem Schädling z.B. Zugriff auf Bankdaten ermöglicht - sowie Cookies und FTP-Passwörter für Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP sowie andere FTP-Clients auslesen.
Die spätere Version des Schädlings Win32.Rmnet.16 unterscheidet sich vom Vorgänger durch architektonische Besonderheiten, u.a. den Einsatz einer digitalen Signatur bei der Auswahl des Verwaltungsservers. Der Virus ist in der Lage, Download-Befehle sowie beliebige Dateien auszuführen, Screenshots anzufertigen und weiterzuleiten sowie Befehle zur Vernichtung des Betriebssystems zu geben. Eines der Backdoor-Module kann die Prozesse der am meisten verbreiteten Antivirenprogramme blockieren. Win32.Rmnet.16 kann sich außerdem in die Bootsektoren der Festplatten einschreiben, seine Dateien verschlüsseln und auf der Festplatte speichern.
Nach Angaben verschiedener Presseagenturen wurden jedoch am 24. Februar 2015 die Verwaltungsserver des Botnets Rmnet deaktiviert. Die Aktion wurde durch das Europäische Zentrum zur Bekämpfung der Cyberkriminalität (European Cyber-Crime Center) und CERT-EU (Computer Emergency Response Team) koordiniert. Beteiligt waren ferner die Softwarehersteller Symantec, Microsoft, AnubisNetworks sowie weitere europäische Institutionen. Laut der Pressemitteilung von Europol konnten die Sicherheitsspezialisten etwa 300 Domains der Verwaltungsserver abfangen; der Presseagentur Reuters zufolge wurden sieben Verwaltungsserver blockiert. Symantec berichtete, dass das Botnet aus über 350.000 infizierten Endgeräten gestoppt wurde, Microsoft schätzte die Gesamtzahl von infizierten Endgeräten jedoch auf bis zu 500.000.
Trotz vielfältiger Meldungen über den erfolgreichen Abschluss der vor kurzem durchgeführten Europol-Aktion, beobachten die Sicherheitsspezialisten von Doctor Web keinen Rückgang der Botnet-Aktivitäten. Insgesamt sind den Sicherheitsanalysten von Doctor Web heute zwölf Rmnet-Subnetzwerke bekannt, die Domänen von Verwaltungsservern generieren. Mindestens zwei Subnets von Win32.Rmnet.12 verwenden keine automatische Generierung von Domänen (in der ersten Kategorie wurde nur ein Subnet mit seed 79159c10 durch Symantec gesperrt).
Die Statistiken belegen, dass durch Europol nicht alle Verwaltungsserver gestoppt wurden. Nach wie vor erhalten mindestens 500.000 infizierte Rechner Befehle aus dem Rmnet-Botnet. (Doctor Web: ra)
Doctor Web: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.