Файловый вирус Win32.Rmnet.12

0
4325

вирус Win32.Rmnet.12

Файловому вирусу Win32.Rmnet.12 удалось создать бот-сеть из более миллиона зараженных компьютеров. Вирус поражал компьютеры на базе Windows, реализуя функции бэкдора и выкрадывая пароли от популярных FPT-клиентов, которые потом использовались злоумышленниками для заражения сайтов и при организации сетевых атак. Более того, получив команду от удаленного сервера вирус был способен полностью уничтожить операционную систему компьютера.

Сведения о вирусе Win32.Rmnet.12

ботнетПервые сведения о вирусе Win32.Rmnet.12 у анти вирусных компаний появились еще осенью 2012 года. Вирус заражает компьютеры различными способами. Это могут быть инфицированные зараженные исполняемые файлы, флеш-накопители и специальные скрипты, вшитые в html-документы. В последнем случае, вирус сохранялся на диске компьютера уже только при открытии в окне браузера вредоносной веб-страницы.

Win32.Rmnet.12 является сложным многокомпонентным файловым вирусом, состоящим из нескольких модулей. Он способен саморазмножению, то есть вирус копирует сам себя для бесконтрольного распространения. Очутившись в операционной системе, Win32.Rmnet.12 выясняет в первую очередь, какой браузер установлен в компьютере по умолчанию. Если такового вирус не обнаруживает, то он выбирает Internet Explorer, и встраивается в его процессы. Далее он генерирует имя собственного файла, взяв за основу серийный номер жесткого диска, и сохраняется в папку автозагрузки, установив для своего файла атрибут «скрытый». Этот файл вирус будет записывать необходимые для него данные. И после этого Win32.Rmnet.12, согласно заложенного в нем алгоритма, пытается связаться с управляющим сервером.

Один из компонентов Win32.Rmnet.12 – это модуль бэкдора, который после запуска определяет скорость соединения ПК с интернетом. Для этого вирус с интервалом с 70 сек отправляет запросы на поисковые сайты и анализирует время их отклика. После получения этой информации вирус соединяется с командным центром и передает ему информацию о зараженном компьютере. Модуль бэкдор способен обрабатывать получаемые от командного центра директивы, например, команды на скачивание или запуск произвольного файла, обновления собственного тела, создания снимка экрана и отправки его на сервер злоумышленников и даже команды полного уничтожения всей операционной системы.

вирус Win32.Rmnet.12Другой функциональный модуль вируса создан для кражи паролей к наиболее популярным FTP-клиентам, например, Bullet Proof FTP, FileZilla, FlashFXP, CuteFTP, WS FTP, Ghisler и подобные им. Эти пароли необходимы для последующего заражения удаленных серверов или для организации сетевых атак. Не брезгует Win32.Rmnet.12 информацией в cookies, благодаря которой злоумышленники получают доступ к учетным записям пользователя зараженного компьютера на сайтах, которые требуют авторизации.

Также функциональные возможности вируса позволяют ему осуществлять блокировку отдельных сайтов с целью перенаправления пользователя на контролируемые злоумышленниками интернет-ресурсы. А последние модификации вируса уже могут осуществлять веб-инжекты, которые позволяют Win32.Rmnet.12 похищать банковскую информацию.

Вирус производит поиск всех html-файлов, чтобы добавить в них собственнй код, написанный на языке VBScript. Кроме того, Win32.Rmnet.12 заражает собой все обнаруженные в ПК исполняемые файлы, имеющие расширение .exe, а также копирует себя на все внешние флеш-накопители памяти, сохраняя в корневой папке файл собственного автозапуска и ярлык ссылки на вредоносное приложение, которое, собственно, и запускает вирус на новом компьютере.

Обнаружение вируса Win32.Rmnet.12

Доктор ВебКомпания «Доктор Веб» обнаружила ботнет Win32.Rmnet.12 в сентябре 2011 года, и вскоре специалисты компании расшифровали хранящиеся в ресурсах вируса имена управляющих серверов. Через некоторое время стали доступными для анализа протоколы обмена данными между управляющими центрами и ботнетами. Это дало возможность не только установить точное количество инфицированных компьютеров, но и даже контролировать их поведение. 14 февраля 2012 года специалисты «Доктора Веба» применили известный метод sinkhole, что был впоследствии использован для изучения троянской сети BackDoor.Flashback.39. Суть метода sinkhole заключается регистрации доменов управляющих серверов сети Win32.Rmnet.12, благодаря чему был установлен полный контроль над одной из подсетей ботнета.

На 15 апреля 2012 года ботнет Win32.Rmnet.12 состоял их 1,4 млн. заряженных компьютеров, и это число продолжает расти. Наибольшее количество инфицированных ПК находится в Индонезии (27,12% или 320 тыс. ПК). Второе место по числу инфицированных компьютеров занимает Бангладеш (166 тыс. или 14,08%). Почетное третье место досталось Вьетнаму (13,08%). Далее следуют Индия, Пакистан, Россия (43 тыс. компьютеров или 3,6%), Египет, Нигерия, Непал и Иран. Среди других стран СНГ можно отметить Казахстан с 19,77 тыс. случаями заражения (1,67%), Белоруссию (14,2 тыс. или 1,2%) и Украину (12,5 тыс. или 1,05%). В США обнаружено относительно немного зараженных компьютеров – только 4327 ПК или 0,36%. Еще меньше обнаружено инфицированных компьютеров в Канаде (250 штук) и в Австралии (46 штук), а в Таджикистане, Албании и Дании было выявлено только по 1 зараженному компьютеру.

Сегодня, как заявляют специалисты «Доктора Веба», компания полностью контролирует ботнет Win32.Rmnet.12, и злоумышленники не могут уже получать к ней доступ для нанесения вреда инфицированным компьютерам.

Видео: "Удаление вируса Rmnet.16"

Автор: Мир переводов
ОЦЕНИТЬ НОВОСТЬ
5 (голосов: 193)

Комментарии:

ВВЕРХ