Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.Rmnet.16

Добавлен в вирусную базу Dr.Web: 2012-04-19

Описание добавлено:

Многокомпонентный файловый вирус, написан на языках С и Ассемблер. Встраивает в браузер библиотеки rmnsoft.dll, modules.dll, сохраняет во временную папку драйвер, регистрирует его под именем Micorsoft Windows Service и запускает. Копирует тело вируса во временную директорию и папку автозапуска со случайным именем и расширением .exe.

Модуль бэкдора способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление вируса, создание и отправку снимка экрана и даже команду уничтожения операционной системы. Использует цифровую подпись, которой подписывается IP-адрес управляющего сервера, адреса самих командных центров генерируются динамически.

Загруженные бэкдором компоненты вируса и конфигурационные файлы сохраняются в зашифрованный файл с расширением .log в папку %APPDATA%. Лоадер modules.dll загружает данные из файла с расширением .log и настраивает их непосредственно в оперативной памяти компьютера, вследствие чего используемые вирусом компоненты на жестком диске ПК не расшифровываются.

Вирус способен останавливать процессы антивирусных программ и модифицировать MBR. Сохраняет собственные файлы в зашифрованном виде в конце диска. В процессе загрузки управление передается инфицированной MBR, которая читает и расшифровывает в памяти вредоносные модули, после чего запускает их.

Загружает модули: Ftp Grabber v2.0, Anonymous Ftp Server v1.0, Hide Browser v1.1, Hooker 3 Spy module. Имеет полиморфный инфектор, заражает файлы от точки входа, а тело хранит в ресурсах со случайным именем.