Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Главная > Новости бизнеса > Hi-Tech > «Доктор Веб»: вирус Rmnet.12 создал бот-сеть из миллиона компьютеров на базе Windows

«Доктор Веб»: вирус Rmnet.12 создал бот-сеть из миллиона компьютеров на базе Windows

Среда, 18 апреля 2012 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщила о широком распространении файлового вируса Win32.Rmnet.12, c помощью которого злоумышленники создали бот-сеть, насчитывающую более миллиона инфицированных компьютеров.

Вирус Win32.Rmnet.12 заражает ПК на базе Microsoft Windows, реализуя функции бэкдора, а также осуществляя кражу паролей (от популярных FTP-клиентов), которые могут быть использованы для организации сетевых атак или заражения сайтов. Обрабатывая поступающие от удаленного центра злоумышленников указания, Win32.Rmnet.12 также может дать команду на уничтожение операционной системы.

Впервые информация о вирусе Win32.Rmnet.12 была добавлена в базы Dr.Web еще в сентябре 2011 г. Начиная с этого момента специалисты «Доктор Веб» внимательно следили за развитием этой угрозы. Вирус проникает на компьютеры разным путем: через инфицированные флеш-накопители, зараженные исполняемые файлы, а также при помощи специальных скриптов, интегрированных в html-документы — они сохраняют на диск компьютера вирус при открытии вредоносной веб-страницы в окне браузера. Сигнатура подобных сценариев, написанных на языке VBScript, была добавлена в базы Dr.Web под именем VBS.Rmnet.

Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению (умеет копировать сам себя и бесконтрольно распространяться без участия пользователя). Запустившись в операционной системе, Win32.Rmnet.12 проверяет, какой браузер установлен по умолчанию (если таковой не обнаружен, вирус выбирает в качестве цели Microsoft Internet Explorer) и встраивается в процессы браузера. Затем, сгенерировав имя собственного файла на основе серийного номера жесткого диска, вирус сохраняется в папку автозагрузки текущего пользователя и устанавливает для вредоносного файла атрибут «скрытый». В ту же папку сохраняется и конфигурационный файл, в который записываются необходимые для работы вредоносной программы данные. Затем на основе заложенного в него алгоритма вирус определяет имя управляющего сервера и пытается установить с ним соединение.

Одним из компонентов вируса является модуль бэкдора. После запуска он пытается определить скорость соединения компьютера с интернетом, для чего с интервалом в 70 секунд отправляет запросы на сайты google.com, bing.com и yahoo.com, анализируя отклики. Затем Win32.Rmnet.12 запускает на инфицированной машине FTP-сервер и устанавливает соединение с командным центром, передавая ему сведения о зараженном компьютере. Бэкдор способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление самого себя, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы.

Другой функциональный компонент вируса предназначен для кражи паролей от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других. Эти данные впоследствии могут быть использованы злоумышленниками для организации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. К тому же Win32.Rmnet.12 не брезгует покопаться и в cookies пользователя, в результате чего злоумышленники могут получить доступ к учетным записям жертвы на различных сайтах, требующих авторизации. Кроме того, модуль обладает функционалом, позволяющим осуществлять блокировку отдельных сайтов и перенаправление пользователя на принадлежащие вирусописателям интернет-ресурсы. Одна из модификаций Win32.Rmnet.12 также способна осуществлять веб-инжекты, благодаря чему вирус может похищать банковскую информацию.

Распространение вируса происходит несколькими путями: во-первых, с использованием уязвимостей браузеров, позволяющих сохранять и запускать исполняемые файлы при открытии веб-страниц. Вирус выполняет поиск всех хранящихся на дисках файлов html и добавляет в них код на языке VBScript. Помимо этого, Win32.Rmnet.12 инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и умеет копировать себя на съемные флеш-накопители, сохраняя в корневую папку файл автозапуска и ярлык, ссылающийся на вредоносное приложение, которое в свою очередь запускает вирус.

Ботнет, состоящий из зараженных Win32.Rmnet.12 компьютеров, был впервые обнаружен компанией «Доктор Веб» еще в сентябре 2011 г., когда образец самого вируса впервые попал в антивирусную лабораторию. Вскоре были расшифрованы хранящиеся в ресурсах Win32.Rmnet.12 имена управляющих серверов. Спустя некоторое время специалисты проанализировали также протокол обмена данными между ботнетом и управляющими центрами, что позволило не только определять количество ботов в сети, но и контролировать их поведение. 14 февраля 2012 г. аналитиками компании «Доктор Веб» был применен известный метод sinkhole, который впоследствии успешно использовался для изучения сети троянцев BackDoor.Flashback.39, а именно были зарегистрированы домены управляющих серверов одной из сетей Win32.Rmnet.12, что позволило установить полный и всеобъемлющий контроль над этим ботнетом. В конце февраля аналогичным образом была захвачена вторая подсеть Win32.Rmnet.12.

Первоначально количество составляющих сеть Win32.Rmnet.12 инфицированных машин было относительно невелико и насчитывало несколько сотен тысяч ботов, однако это число постепенно увеличивалось. По данным на 15 апреля 2012 г., ботнет Win32.Rmnet.12 состоит из 1 400 520 зараженных узлов и продолжает уверенно расти.

Наибольшее количество зараженных ПК приходится на долю Индонезии — 320 014 инфицированных машины, или 27,12%. На втором месте находится государство Бангладеш с числом заражений 166 172, что составляет 14,08% от размеров всего ботнета. На третьем месте — Вьетнам (154 415 ботов, или 13,08%), далее следуют Индия (83 254 бота, или 7,05%), Пакистан (46 802 бота, или 3,9%), Россия (43 153 инфицированных машины, или 3,6%), Египет (33 261 бот, или 2,8%), Нигерия (27 877 ботов, или 2,3%), Непал (27 705 ботов, или 2,3%) и Иран (23 742 бота, или 2,0%). Достаточно велико количество пострадавших от данного вируса на территории Казахстана (19 773 случая заражения, или 1,67%) и Беларуси (14 196 ботов, или 1,2%). В Украине зафиксировано 12 481 случай инфицирования Win32.Rmnet.12, что составляет 1,05% от размеров всей бот-сети. Относительно небольшое количество зараженных компьютеров выявлено в США — 4 327 единиц, что соответствует 0,36%. Ну а меньше всего случаев приходится на долю Канады (250 компьютеров, или 0,02% от объемов сети) и Австралии (всего лишь 46 компьютеров). По одному инфицированному ПК было выявлено в Албании, Дании и Таджикистане.

Как отмечают в компании, «Доктор Веб» полностью контролирует вирусную сеть Win32.Rmnet.12, благодаря чему злоумышленники больше не могут получить к ней доступ и нанести вред инфицированным компьютерам. Во избежание заражения Win32.Rmnet.12 специалисты компании «Доктор Веб» рекомендуют использовать современное антивирусное программное обеспечение и поддерживать вирусные базы в актуальном состоянии.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 250
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

18: 40
Canon выпустил самый компактный фотоаппарат в мире (нет) |
18: 40
MegaBots планирует провести турнир гигантских боевых роботов |
18: 40
Как демонтируют ветрогенераторы (экстремальная версия) |
18: 20
Xiaomi MiJia Portable Flashlight – фонарик и зарядное устройство в одном |
18: 00
Набор модулей памяти G.Skill Trident Z DDR4-4400 суммарным объемом 32 ГБ работает с задержками CL19-19-19-39 |
17: 00
Можно ли доверять своим воспоминаниям? |
16: 20
OnePlus 5 и 5T получат Android 8.0 Oreo в начале 2018 года |
16: 20
Зарезервируй LEAGOO T5c и получи его всего за два доллара! |
16: 20
Представлен концепт Mac mini с Touch Bar и неповторимым дизайном |
15: 40
Virgin Hyperloop One изучает возможность строительства в Индии сети маршрутов высокоскоростных поездов |
15: 40
Сбербанк научится распознавать клиентов по лицу и голосу |
15: 20
«В поисках инопланетного разума» - ученые проекта Active SETI запустили радиопослание на потенциально обитаемую планету. |
15: 20
В веб-версии Instagram появилась возможность создавать Истории |
14: 40
Sony тестирует устройство с SoC Snapdragon 845, которая получит восьмиядерный CPU с частотой 2,6 ГГц и GPU Adreno 550 |
14: 40
Tesla представила новый Roadster c запасом хода 1 000 км |
13: 40
Tesla представила электрогрузовик с автопилотом |
13: 40
AMD превосходит Nvidia в статистике Firefox |
13: 40
Одноклассники расширяют эмоциональный диапазон «Классов» |
13: 40
Примечательные рекламные кампании за всю историю сети пиццерий Pizza Hut |
12: 40
У москвича украли биткоины на 15 млн рублей прямо в обменнике |
12: 40
Tesla официально представила свой первый грузовик |
12: 20
В апреле приложения для watchOS 1 перестанут обновляться |
12: 00
Человекоподобный робот Atlas показал обратное сальто и выжил |
12: 00
День, когда на Луне высадился робот |
12: 00
Термоядерный реактор в наши дни: броня из нанокомпозитов |
09: 40
Самый популярный телефон Nokia сегодня отгружается партиями по 10 млн единиц в месяц |
09: 40
Представлен обновленный электромобиль Tesla Roadster, который разгоняется до 400 км/ч и имеет запас хода 1000 км |
09: 40
В Москве показали новый смартфон Oppo F5. Идеальные селфи? |
07: 20
Видеокарта Gigabyte GeForce GTX 1070 Ti WindForce 8G получила охладитель WindForce x2 |
18: 40
Шимпанзе предупреждают сородичей о змеях поблизости |
17: 00
Tesla показала первый видеотизер электрогрузовика |
Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003