Trojan.Rmnet крадет пароли от FTP

Специалисты компании Доктор Веб обнаружили новую модификацию уже известного семейства вредоносного ПО Win32.Rmnet, способную заражать главную загрузочную запись (MBR). Благодаря этому Trojan.Rmnet запускается раньше установленного на компьютере антивируса, что значительно затрудняет детектирование и локализацию угрозы. Основное назначение этого троянца – кража паролей от популярных FTP-клиентов.

Trojan.Rmnet проникает на компьютер с зараженных флеш-накопителей или при запуске инфицированных исполняемых файлов и обладает способностью к саморепликации – копированию самого себя без участия пользователя. Троянец инфицирует файлы с расширениями .exe, .dll, .scr, .html, .htm, а в некоторых случаях — .doc и xls, при этом программа способна создавать на съемных накопителях файл "autorun.inf".

Непосредственно после своего запуска троянец модифицирует главную загрузочную запись, регистрирует системную службу Micorsoft Windows Service (она может играть в операционной системе роль руткита), пытается удалить сервис RapportMgmtService и встраивает в систему несколько вредоносных модулей, отображающихся в Диспетчере задач Windows в виде четырех строк с заголовком "iexplore.exe".

Главная функция троянца – поиск и похищение паролей от наиболее популярных FTP-клиентов: Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP. Эта информация впоследствии может быть использована злоумышленниками для проведения сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. При помощи полученных сведений вирусописатели могут получить доступ к хранящимся на пользовательских сайтах папкам и файлам, удалить или изменить их. Кроме того, вредоносные модули Trojan.Rmnet могут осуществлять мониторинг сетевого трафика и реализовывать функционал бэкдора.

Согласно статистике компании "Доктор Веб", данная вредоносная программа не менее месяца находится в "топе" выявленных угроз. Чтобы защититься от Trojan.Rmnet, пользователю достаточно провести экспресс-сканирование системы с помощью Dr.Web, который автоматически исправит поврежденную загрузочную запись, вылечит инфицированные файлы и удалит зараженную службу.