Компания "Доктор Веб" сообщает о распространении интернет-червя Win32.HLLW.RAhack, распространяющегося через компьютеры, на которых установлена серверная часть популярного среди сетевых администраторов ПО Radmin, с помощью которого можно управлять работой удалённых компьютеров.

Win32.HLLW.RAhack переходит с одного Radmin-сервера на другой, осуществляя подбор пароля по словарю, содержащемуся в программе. В случае удачного взлома системы червь передаёт на очередной компьютер-жертву своё тело, помещая его в файл %systemroot%\system32\ipz.exe, после чего запускает данный файл. Процедуру заражения завершает установка вредоносной программы в качестве сервиса Windows.

Из заражённых систем Win32.HLLW.RAhack выстраивает peer-to-peer-сеть. При этом по данной сети осуществляется передача списка известных клиентов вредоносной сети и сообщений, которые могут в себе содержать команды на передачу и запуск файлов.

Пользователи антивирусных продуктов Dr.Web защищены от данной вредоносной программы. Пользователям других антивирусных продуктов для лечения системы от данной вредоносной программы достаточно просканировать компьютер с помощью бесплатного сканера Dr.Web CureIt!.

Для недопущения взлома Radmin-серверов администраторам соответствующего ПО рекомендуется поменять административный пароль на более надёжный.

Сообщить об актуальной угрозе