В последнее время специалистами было замечено распространение нового вируса, получившего название Win32.Rmnet.16. Большинство случаев заражения отмечено в Австралии и Великобритании.

Вирус Win32.Rmnet.16 создан на языках Ассемблер и С. При внедрении вируса в операционную систему происходит следующее: он встраивается в браузер — процессы, сохраняет собственный драйвер во временную папку. Вирус запускает драйвер, как системную службу Micorsoft Windows Service, после копирует свое тело во временную папку, а так же в автозапуск. Имя выбирает случайное, но с расширением .exe.

Данный вирус способен обрабатывать команды удаленного центра, например, скачать и запустить произвольный файл, обновится, создать и отправить снимок экрана. Опасно то, что он может получить команду и уничтожить операционную систему.

Так же вирус функционалом, позволяющим блокировать процессы обнаружения большинства антивирусных программ.

Win32.Rmnet.16  может записаться в загрузочную область и сохранять собственные файлы в зашифрованном виде в конце диска. Загрузочная область после перезагрузки операционной системы принимает управление от инфицированной загрузочной записи,  после чего читает в памяти вредоносные модули и запускает их.

Следует отметить, что мощные антивирусные программы в состоянии восстановить загрузочную запись.

Дата публикации 18.05.2012, 11:53