Win32.Rmnet.12 è un virus molto pericoloso in grado di creare una botnet di milioni di computer infetti. Win32.Rmnet.12 infetta pc conl sistema operativo Windows, implementa backdoor, ruba password che poi utilizza per eseguire attacchi di rete e infettare siti web. Win32.Rmnet.12 processa comandi da un server remoto che possono includere in ultima analisi anche la distruzione del sistema operativo.
Il virus penetra nei computer in vari modi: attraverso flash drive infetti, attraverso file eseguibili infetti, come pure attraverso l’utilizzo di speciali scripts incorporati all’interno di documenti html
Win32.Rmnet.12 è un virus complesso multicomponente, consistente in diversi moduli e in grado di autoreplicarsi. In esecuzione, esso verifica quale è il browser di default e all’interno di esso inietta il suo codice. Quindi utilizza il serial number del’’hdd per generare il suo nome, salva sé stesso nella cartella autorun dell’utente corrente e assegna l’attributo “hidden” al suo file. Infine il virus prova a connettersi a un server di controllo
Uno dei componenti del virus è un backdoor. Win32.Rmnet.12 si connette a un server remoto e trasmette informazioni sul sistema infetto agli attaccanti. La backdoor può eseguire comandi ricevuti dal server remoto, in paritcolare, scaricare ed eseguire file arbitrariamente, aggiornare sé stesso, eseguire screenshots ed inviarli ai criminali, e persino rendere non operativo il sistema operativo.
Un altro componente del virus ruba le password memorizzate dai più popolari client FTP, come Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP. Questa informazione può essere successivamente sfruttata per eseguire attacchi di rete o infettare computer remoti. Inoltre Win32.Rmnet.12 va a rovistare tra i cookies dell’utente, per recuperare gli account di accesso ai siti che richiedono l’autenticazione. In più, il virus può bloccare l’accesso a siti specifici e redirigere l’utente al sito controllato dall’autore del virus. Win32.Rmnet.12 è anche in grado di rubare le informazioni riguardanti l’account bancario dell’utente
Il virus si diffonde in vari modi: sfruttando le vulnerabilità del browser per permettere agli attaccanti di salvare ed eseguire eseguibili quando vengono aperte pagine web. Il virus cerca tutti i file html memorizzati sui dischi e incorpora in esso codice maligno. Inoltre, infetta tutti i file eseguibili con estensione .exe trovati sui dischi ed è in grado di copiare sé stesso sui flash drive removibili.
Per evitare la contaminazione è raccomandato l’uso di antivirus costantemente aggiornati
