tom's networking guide
 
Anzeige
Raspberry Pi 2 verspricht Performance-Sprung und Windows-10-Kompatibilität >
< Fette Hacker-Beute: Banktrojaner als lukrative Geldquelle
02.02.15 15:27 Alter: 5 Jahre
Kategorie: Anti-Virus
Von: Nina Eichinger

Dr. Web belegt: Botnet Rmnet ist trotz Europol-Aktion immer noch aktiv

Ende Februar gab Europol bekannt, dass in Zusammenarbeit mit verschiedenen Ländern Verwaltungsserver der Botnetzes Rmnet entschärft wurden. Aktuelle Zahlen zeigen jedoch, dass die Aktion wohl nur einen Teil der Server erwischt hat und das Botnet nach wie vor aktiv ist.


In den zwei Subnets von Win32.Rmnet.12 bleiben die Aktivitäten auf demselben Niveau (250 000 – 270 000 infizierte Rechner). 24h-Aktivitäten des Botnets Win32.Rmnet.12, Subnet 1. (Grafik: Dr. Web)

In den zwei Subnets von Win32.Rmnet.12 bleiben die Aktivitäten auf demselben Niveau (250 000 – 270 000 infizierte Rechner). 24h-Aktivitäten des Botnets Win32.Rmnet.12, Subnet 2. (Grafik: Dr. Web)

In diesem Subnetzwerk von Win32.Rmnet.16 sind die Aktivitäten auf einem geringeren Niveau. Jedoch ist das Subnetzwerk immer noch lebendig: 24h-Aktivitäten des Botnets Win32.Rmnet.16. (Grafik: Dr. Web)

Ähnlich verhält es sich bei Rechnern, auf denen böswillige Module Trojan.Rmnet.19 aktiv sind: 24h-Aktivitäten des Botnets Trojan.Rmnet.19. (Grafik: Dr. Web)

Frankfurt – Europol meldete, dass das Botnet Rmnet in einer von Europol koordinierten Großaktion deaktiviert worden sei. Im Einsatz befanden sich dabei Mitarbeiter der Abteilung für Cyber-Kriminalität der britischen Polizei in Zusammenarbeit mit Fahndern aus Deutschland, Italien und den Niederlanden. Dabei seien wohl mehrere Verwaltungsserver von Rmnet entdeckt und entschärft worden. Wenige Tage darauf mussten die Sicherheitsanalysten von Doctor Web festgestellen, dass das Botnet immer noch und in nahezu unverändertem Ausmass aktiv ist.

Die Sicherheitsspezialisten von Doctor Web verfolgen immer noch die Aktivitäten von Subsystemen des durch den Dateivirus Rmnet aufgebauten Botnets – insbesondere von Win32.Rmnet.12, das diesem seit 2011 angehört. Win32.Rmnet.12 ist ein komplexer Dateivirus, der aus mehreren Modulen besteht und sich selbständig vervielfältigt. Er kann durch Befehle von außen gesteuert werden, böswillige Inhalte in Webseiten integrieren - was dem Schädling z.B. Zugriff auf Bankdaten ermöglicht - sowie Cookies und FTP-Passwörter für Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP sowie andere FTP-Clients auslesen.

Die spätere Version des Schädlings Win32.Rmnet.16 unterscheidet sich vom Vorgänger durch architektonische Besonderheiten, u.a. den Einsatz einer digitalen Signatur bei der Auswahl des Verwaltungsservers. Der Virus ist in der Lage, Download-Befehle sowie beliebige Dateien auszuführen, Screenshots anzufertigen und weiterzuleiten sowie Befehle zur Vernichtung des Betriebssystems zu geben. Eines der Backdoor-Module kann die Prozesse der am meisten verbreiteten Antivirenprogramme blockieren. Win32.Rmnet.16 kann sich außerdem in die Bootsektoren der Festplatten einschreiben, seine Dateien verschlüsseln und auf der Festplatte speichern.

Nach Angaben verschiedener Presseagenturen wurden jedoch am 24. Februar 2015 die Verwaltungsserver des Botnets Rmnet deaktiviert. Die Aktion wurde durch das Europäische Zentrum zur Bekämpfung der Cyberkriminalität (European Cyber-Crime Center) und CERT-EU (Computer Emergency Response Team) koordiniert. Beteiligt waren ferner die Softwarehersteller Symantec, Microsoft, AnubisNetworks sowie weitere europäische Institutionen. Laut der Pressemitteilung von Europol konnten die Sicherheitsspezialisten etwa 300 Domains der Verwaltungsserver abfangen; der Presseagentur Reuters zufolge wurden sieben Verwaltungsserver blockiert. Symantec berichtete, dass das Botnet aus über 350.000 infizierten Endgeräten gestoppt wurde, Microsoft schätzte die Gesamtzahl von infizierten Endgeräten jedoch auf bis zu 500.000.

Trotz vielfältiger Meldungen über den erfolgreichen Abschluss der vor kurzem durchgeführten Europol-Aktion, beobachten die Sicherheitsspezialisten von Doctor Web keinen Rückgang der Botnet-Aktivitäten. Insgesamt sind den Sicherheitsanalysten von Doctor Web heute 12 Rmnet-Subnetzwerke bekannt, die Domänen von Verwaltungsservern generieren. Mindestens zwei Subnets von Win32.Rmnet.12 verwenden keine automatische Generierung von Domänen (in der ersten Kategorie wurde nur ein Subnet mit seed 79159c10 durch Symantec gesperrt).

In den zwei Subnets von Win32.Rmnet.12 bleiben die Aktivitäten auf demselben Niveau (250.000 – 270.000 infizierte Rechner).


Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

CeBIT 2018 - ein holpriger Neustartversuch

CeBIT Logo

"Die CEBIT 2018 wird ein Business-Festival für Innovation und Digitalisierung", sagte Oliver Frese...

[mehr]

Trend Micro trauert um Günter Untucht

Günter Untucht (Bild: Trend Micro)

Der europäische Chefjustiziar von Trend Micro, Günter Untucht, ist Ende Januar überraschend...

[mehr]

Corel VideoStudio Ultimate 2018 mit neuen Funktionen verfügbar

Corel Logo (Grafik: Logo)

Erste Wahl für anspruchsvolle Gelegenheitsanwender – diesen Anspruch erfüllt das...

[mehr]

Argus 2 - kabellose Überwachungskamera für Akku- und Solarbetrieb

Die Argus 2 ist für innen und außen geeignet. (Bild: Reolink)

Reolink stellt mit der Argus 2 seine neueste Kamera vor. Die innovative Überwachungskamera...

[mehr]

Meltdown und Spectre: MSI liefert BIOS-Updates für Z370-Mainboard

MSI Logo

Mit den Updates will MSI mögliche SIcherheitslücken im aktuellen Intel-Microcode schließén. Updates...

[mehr]

CES 2018: Acer lässt Gamer-Herzen höher schlagen

Acer Nitro 5 (Bild: Acer)

Ob für Gamer, Kreative oder Business-Nutzer - auf der CES in Las Vegas stellt Acer für jeden etwas...

[mehr]
Anzeige
Anzeige