Trojan.Rmnet.19 или новый компонент бот-сети, отключающий антивирусные программы


Вредоносные программы семейства Win32.Rmnet - это многокомпонентные файловые вирусы, обладающие возможностью самостоятельного распространения. Вирус состоит из нескольких модулей, а его основной вредоносный функционал позволяет:

  • встраивать в просматриваемые веб-страницы посторонний контент;
  • перенаправлять пользователя на указанные злоумышленниками сайты;
  • передавать на удаленные узлы содержимое заполняемых жертвой форм;
  • красть пароли от популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla и Bullet Proof FTP.

Trojan.Rmnet.19 - общее название двух новых вредоносных модулей, один из которых способен отключать установленные на инфицированном компьютере антивирусные программы, другой предназначен для детектирования на инфицированном компьютере виртуальных машин.

Эмулируя действия пользователей (а именно нажатия на соответствующие значки мышью), данный компонент отключает на инфицированной машине следующие антивирусы:

  • Microsoft Security Essential;
  • Norton Antivisus;
  • Eset NOD32;
  • Avast;
  • Bitdefender;
  • AVG.


Антивирусные продукты, которые при отключении компонентов просят ввести защитную капчу, не подвержены воздействию данного вируса. Например, пользуясь антивирусными решениями Dr.Web, для выгрузки компонентов антивируса требуется ввести капчу, с которой Trojan.Rmnet.19 справиться не в состоянии.

Trojan.Rmnet.19 kapcha

В данной подсети вирус загружает с управляющего сервера на инфицированный компьютер семь вредоносных модулей:

  • модуль, позволяющий отключать антивирусные программы;
  • модуль для кражи файлов cookies;
  • локальный FTP-сервер;
  • модуль для выполнения веб-инжектов;
  • модуль для кражи паролей от FTP-клиентов;
  • модуль, позволяющий детектировать наличие виртуальных машин;
  • модуль для организации удаленного доступа к инфицированной системе.


Также файловые вирусы семейства Rmnet содержат следующие базовые компоненты:

  • компонент для загрузки других модулей в память;
  • модуль бэкдора;
  • модуль для удаления антивирусных программ.

Больше всего заражений было зафиксировано на территории:

  • Великобритании и Ирландии - 15 253 случая заражения (84,5%);
  • Франции - 1 434 случая (7,9%).