Червь Ragebot удаляет другие вредоносные программы

"Доктор Веб" изучил механизм работы зловреда BackDoor.Ragebot.45, способного инфицировать архивы и удалять другие вредоносные программы.

Ragebot - это червь, распространяющийся через систему удалённого доступа VNC (Virtual Network Computing). Зловред получает команды с использованием протокола для обмена текстовыми сообщениями IRC (Internet Relay Chat). Для этого он подключается к чат-каналу, по которому злоумышленники отдают управляющие директивы.

Ragebot инфицирует компьютеры под управлением Windows. Проникнув в систему, червь запускает FTP-сервер, посредством которого скачивает на атакуемый ПК свою копию. Затем он сканирует доступные подсети в поисках узлов с открытым портом 5900, используемым для организации соединения при помощи системы удалённого доступа к рабочему столу VNC. Обнаружив такую машину, Ragebot пытается получить к ней несанкционированный доступ путём перебора паролей по списку.

Если взлом удался, червь устанавливает с удалённым компьютером VNC-соединение и отправляет сигналы нажатия клавиш, с помощью которых запускает интерпретатор команд CMD и выполняет в нём код для загрузки по протоколу FTP собственной копии. Это обеспечивает автоматическое распространение.

Червь способен инфицировать RAR-архивы на съёмных носителях, внедряя в них свою копию под видом exe-файла. Правда, заражение в данном случае происходит только тогда,  когда пользователь самостоятельно запустит исполняемый файл.

Наконец, по командам злоумышленников Ragebot способен искать в системе сторонние троянские программы, завершать их процессы и удалять соответствующие модули. 

Dr.Web 11 для Windows, Mac OS X, Linux     Арсенал комплексной защиты Dr.Web 11.0 обогатился рядом технологий, позволяющих усилить защиту от атак с использованием уязвимостей «нулевого дня» и других ухищрений, которые используют злоумышленники сегодня и будут применять в будущем.

Dr.Web Security Space 11     Антивирус • Антишпион • Антируткит • Веб-антивирус • Брандмауэр • Антиспам • Родительский контроль • Бонус: бесплатная лицензия на Dr.Web Mobile Security Suite Dr.Web Security Space компании "Доктор Веб" - Этот продукт подойдет активным интернет-серфингистам. Он обеспечит всестороннюю защиту от вирусов, спама, интернет-угроз, оградит детей от посещения нежелательных страниц, убережет от хакерских атак..