«Доктор Веб» сообщила о ботнете из 1,5 млн хостов - 20 Апреля 2012 - tHR

С помощью вируса Win32.Rmnet.12 злоумышленник может выполнить любую команду на компьютере и даже уничтожить операционную систему.

Разработчик антивирусного программного обеспечения компания «Доктор Веб» сообщила о распространении вируса Win32.Rmnet.12. Созданная с помощью данной вредоносной программы ботсеть по состоянию на 15 апреля насчитывала 1 400 520 устройств на базе операционной системы Microsoft Windows.

Специалисты называют Win32.Rmnet.12 сложным многокомпонентным файловым вирусом, обладающим способностью саморазмножения без участия пользователя. Поразив систему, вредоносная программа проверяет, какой браузер установлен по умолчанию и встраивается в его процессы. Затем осуществляется сохранение файла в каталоге автозагрузки пользователя с именем, сгенерированным на основе имени жесткого диска и с атрибутом «скрытый». В той же папке создается файл конфигурации, в которой записываются все данные, необходимые для работы.

На основе специального алгоритма вирус определяет имя C&C сервера и осуществляет с ним соединение.

Среди обнаруженных в вирусе компонентов специалисты «Доктор Веб» отмечают модуль бэкдора. Этот модуль с интервалом в 70 секунд отправляет запросы на такие web-ресурсы, как google.com, bing.com и yahoo.com, анализируя скорость получения ответов. Затем вся информация передается управляющему серверу через FTP соединение. Бэкдор способен выполнять все поступившие от C&C сервера команды, в том числе загружать и выполнять файлы, обновляться, отправлять любую информацию и даже уничтожить операционную систему.

Для распространения вирус пользуется двумя основными способами. Во-первых, эксплуатируются уязвимости браузеров, которые позволяют сохранять и запускать исполняемые файлы при открытии специально сформированных web-страниц. Во-вторых, Win32.Rmnet.12 инфицирует все обнаруженные на диске файлы с расширением .exe и копирует себя на съемные флеш-накопители.

Компания «Доктор Веб» в своем уведомлении утверждает, что ей удалось получить полный контроль над ботсетью Win32.Rmnet.12. Специалисты по информационной безопасности изучили протокол обмена данными между зараженными устройствами и C&C серверами и применили метод sinkhole, который также применялся для изучения ботсети Flashback. Впоследствии были зарегистрированыдомены серверов управления двух подсетей, используемых злоумышленниками для управления зараженными устройствами.

Что касается географического расположения вируса – большая часть зараженных систем приходится на Индонезию — 320 014 зараженных устройств, или 27,12% всех хостов ботнета. Количество ботов Win32.Rmnet.12 в России составляет 43 153, то есть 3,6% от всего ботнета.

Редакция SecurityLab рекомендует своим читателям своевременно устанавливать обновления для программного обеспечения.

С уведомлением компании «Доктор Веб» можно ознакомиться здесь.