Новий компонент Rmnet вміє відключати антивірус

Компанія «Доктор Веб» уже попереджала про широкому поширенні файлових вірусів Win32.Rmnet.12 і Win32.Rmnet.16, здатних організовувати бот-мережі. Нагадаємо, що шкідливі програми сімейства Win32.Rmnet являють собою багатокомпонентні файлові віруси, що володіють можливістю самостійного поширення. Вірус складається з декількох модулів, його основний шкідливий функціонал дозволяє вбудовувати в популярні веб-сторінки сторонній контент, перенаправляти користувача на зазначені зловмисниками сайти, а також передавати на віддалені вузли вміст заповнюваних жертвою форм. Крім того, віруси сімейства Rmnet здатні красти паролі від популярних FTP-клієнтів, таких як Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla і Bullet Proof FTP.

Фахівцям «Доктор Веб» вдалося перехопити ще одну підмережа Win32.Rmnet з використанням відомого методу sinkhole. У цій підмережі був встановлений факт поширення двох нових шкідливих модулів, які отримали загальне позначення Trojan.Rmnet.19. Один з них призначений для детектування на інфікованому комп'ютері віртуальних машин, натомість друга є значно більший інтерес. Емулюючи дії користувачів (а саме натискання на відповідні значки мишею), даний компонент відключає на інфікованій машині антивіруси Microsoft Essential Security, Norton Antivisus, Eset NOD32, Avast, Bitdefender, AVG.

Якщо на комп'ютері використовується антивірус Dr.Web, вам ніщо не загрожує: для вивантаження компонентів антивірусу потрібно ввести капчу, а з цим завданням Trojan.Rmnet.19 впоратися не в змозі.