Файловий вірус Win32.Rmnet.12

Файловому вірусу Win32.Rmnet.12 вдалося створити бот-мережу з більш як мільйона заражених комп'ютерів. Вірус вражав комп'ютери на базі Windows, реалізуючи функції бекдор і викрадаючи паролі від популярних FPT-клієнтів, які потім використовувалися зловмисниками для зараження сайтів і при організації мережевих атак. Більше того, отримавши команду від віддаленого сервера вірус був здатний повністю знищити операційну систему комп'ютера.
Перші відомості про вірус Win32.Rmnet.12 у анти вірусних компаній з'явилися ще восени 2012 року. Вірус заражає комп'ютери різними способами. Це можуть бути інфіковані заражені виконувані файли, флеш-накопичувачі і спеціальні скрипти, вшиті в html-документи. В останньому випадку, вірус зберігався на диску комп'ютера вже тільки при відкритті у вікні браузера шкідливої ​​веб-сторінки.

Win32.Rmnet.12 є складним багатокомпонентним файловим вірусом, що складається з декількох модулів. Він здатний саморозмножуватися, тобто вірус копіює сам себе для безконтрольного розповсюдження. Опинившись в операційній системі, Win32.Rmnet.12 з'ясовує в першу чергу, який браузер встановлений в комп'ютері за замовчуванням. Якщо такого вірус не виявляє, то він вибирає Internet Explorer, і вбудовується в його процеси. Далі він генерує ім'я власного файлу, взявши за основу серійний номер жорсткого диска, і зберігається в папку автозавантаження, встановивши для свого файлу атрибут «прихований». Цей файло- вірус буде записувати необхідні для нього дані. І після цього Win32.Rmnet.12, згідно закладеного в ньому алгоритму, намагається зв'язатися з керуючим сервером.

Один з компонентів Win32.Rmnet.12 - це модуль бекдор, який після запуску визначає швидкість з'єднання ПК з інтернетом. Для цього вірус з інтервалом з 70 сек відправляє запити на пошукові сайти і аналізує час їх відгуку. Після отримання цієї інформації вірус з'єднується з командним центром і передає йому інформацію про зараженому комп'ютері. Модуль бекдор здатний обробляти одержувані від командного центру директиви, наприклад, команди на скачування або запуск довільного файлу, поновлення власного тіла, створення знімка екрану і відправки його на сервер зловмисників і навіть команди повного знищення всієї операційної системи.

Інший функціональний модуль віруса створений для крадіжки паролів до найбільш популярних FTP-клієнтів, наприклад, Bullet Proof FTP, FileZilla, FlashFXP, CuteFTP, WS FTP, Ghisler і подібні до них. Ці паролі необхідні для подальшого зараження віддалених серверів або для організації мережевих атак. Не гребує Win32.Rmnet.12 інформацією в cookies, завдяки якій зловмисники отримують доступ до облікових записів користувача зараженого комп'ютера на сайтах, які вимагають авторизації.

Також функціональні можливості вірусу дозволяють йому здійснювати блокування окремих сайтів з метою перенаправлення користувача на контрольовані зловмисниками інтернет-ресурси. А останні модифікації вірусу вже можуть здійснювати веб-інжекти, які дозволяють Win32.Rmnet.12 викрадати банківську інформацію.

Вірус здійснює пошук усіх html-файлів, щоб додати в них власний код, написаний на мові VBScript. Крім того, Win32.Rmnet.12 заражає собою всі виявлені в ПК виконувані файли, що мають розширення .exe, а також копіює себе на всі зовнішні флеш-накопичувачі пам'яті, зберігаючи в кореневій папці файл власного автозапуску і ярлик посилання на шкідливий додаток, який, власне, і запускає вірус на новому комп'ютері.

Компанія «Доктор Веб» виявила ботнет Win32.Rmnet.12 у вересні 2011 року, і незабаром фахівці компанії розшифрували імена керуючих серверів,  які зберігаються в ресурсах вірусу. Через деякий час стали доступними для аналізу протоколи обміну даними між керуючими центрами і ботнетами. Це дало можливість не тільки встановити точну кількість інфікованих комп'ютерів, а й навіть контролювати їхню поведінку. 14 лютого 2012 фахівці «Доктора Веба» застосували відомий метод sinkhole, що був згодом використаний для вивчення троянської мережі BackDoor.Flashback.39. Суть методу sinkhole полягає в реєстрації доменів керуючих серверів мережі Win32.Rmnet.12, завдяки чому було встановлено повний контроль над однією з підмереж ботнету.

На 15 квітня 2012 ботнет Win32.Rmnet.12 складався із 1,4 млн. заряджених комп'ютерів, і це число продовжує зростати. Найбільша кількість інфікованих ПК знаходиться в Індонезії (27,12% або 320 тис. ПК). Друге місце по числу інфікованих комп'ютерів займає Бангладеш (166 тис. або 14,08%). Почесне третє місце дісталося В'єтнаму (13,08%). Далі йдуть Індія, Пакистан, Росія (43 тис. комп'ютерів або 3,6%), Єгипет, Нігерія, Непал та Іран. Серед інших країн СНД можна відзначити Казахстан з 19,77 тис. випадками зараження (1,67%), Білорусь (14,2 тис. або 1,2%) і Україна (12,5 тис. або 1,05%). У США виявлено відносно небагато заражених комп'ютерів - тільки 4327 ПК або 0,36%. Ще менше виявлено інфікованих комп'ютерів в Канаді (250 штук) і в Австралії (46 штук), а в Таджикистані, Албанії та Данії було виявлено тільки по 1 зараженому комп'ютеру.

Сьогодні, як заявляють фахівці «Доктора Веба», компанія повністю контролює ботнет Win32.Rmnet.12, і зловмисники не можуть вже отримувати до неї доступ для нанесення шкоди інфікованим комп'ютерам.