Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un nouveau composant du botnet Rmnet désactive des logiciels antivirus

le 23 mai 2013

Doctor Web annonce la découverte de deux nouveaux modules malveillants dans le botnet Rmnet. L'un d'eux permet aux attaquants de désactiver les logiciels antivirus installés sur l'ordinateur infecté. En outre, les experts de Doctor Web ont réussi à intercepter le contrôle de l'un des sous-réseaux Rmnet, dans lequel ces composants agissent.

Doctor Web a déjà alerté sur une large propagation des virus de fichiers Win32.Rmnet.12 et Win32.Rmnet.16, capable d'enrôler les ordinateurs en botnets. Rappelons que les logiciels malveillants de la famille Win32.Rmnet représentent un virus de fichiers multi-composants, capable de se répliquer. Le virus comprend plusieurs modules et peut injecter un code parasite dans les pages web, rediriger les utilisateurs vers des sites piratés ou transmettre des formulaires remplis par les victimes sur des serveurs distants. En outre, les virus de la famille Rmnet peuvent également voler les mots de passe des clients FTP tels que Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla et Bullet Proof FTP.

Les spécialistes de Doctor Web ont réussi à intercepter un autre sous-réseau Win32.Rmnet en utilisant la méthode de sinkhole. Dans ce sous-réseau, ils ont détecté la propagation de deux nouveaux modules malveillants, baptisés Trojan.Rmnet.19. L'un d'eux est conçu pour détecter les machines virtuelles sur l'ordinateur infecté, mais le second est plus « intéressant ». En simulant les actions des utilisateurs (notamment en cliquant sur des icônes), ce module désactive sur la machine infectée les antivirus Microsoft Essential Security, Norton Antivisus, ESET NOD32, Avast, Bitdefender, AVG.

Ce composant ne représente pas de menace pour les utilisateurs de Dr.Web, puisque pour désactiver les composants antivirus, il faut entrer un CAPTCHA, ce que le Trojan.Rmnet.19 ne peut pas faire.

screen

Dans ce sous-réseau, le virus télécharge depuis le serveur de gestion sur l'ordinateur infecté, sept modules malveillants au total :

  • un nouveau module, capable de désactiver le logiciel antivirus ;
  • un module pour voler les fichiers cookies ;
  • un serveur local FTP ;
  • un module pour la mise en œuvre d'injections SQL ;
  • un module pour voler les mots de passe des clients FTP ;
  • un nouveau module, capable de détecter les machines virtuelles ;
  • un module pour avoir un accès distant au système infecté.

En outre, les virus de fichiers de la famille de Rmnet comprennent les composants basiques suivants :

  • un module pour charger les autres modules dans la mémoire ;
  • un module de backdoor ;
  • un module pour supprimer les logiciels antivirus.

Pour la journée du 22 mai 2013, environ 18.000 bots se sont connectés au serveur de gestion, interceptés par les spécialistes de Doctor Web. D'après les données recueillies, nous pouvons conclure que la cible principale des malfaiteurs sont le Royaume-Uni et d'Irlande, car 15 253 cas d'infections (84,5%) ont été détectés dans ces pays, la deuxième place étant occupée par les utilisateurs français (1.434 cas, soit 7,9%). Les spécialistes de Doctor Web continuent à surveiller le botnet.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg