Доктор Веб: Увеличение размера ботнета Win32.Rmnet.12

Hit WebКомпания "Доктор Веб" сообщает, что численность бот-сети Win32.Rmnet.12 в июне-месяце превысила три миллиона инфицированных узлов. Файловый вирус Win32.Rmnet.12 способен красть пароли от популярных FTP-клиентов и выполнять функции бэкдора.

В середине апреля 2012 года бот-сеть, созданная злоумышленниками с использованием файлового вируса Win32.Rmnet.12, достигла по своей численности миллиона инфицированных компьютеров. С тех пор количество заражений непрерывно росло. Уже к концу мая размер ботнета достиг отметки в 2,5 млн. рабочих станций, а к концу июня численность сети преодолела отметку в 3,2 млн. ботов. Ежедневно к контролируемым компанией "Доктор Веб" управляющим серверам Win32.Rmnet.12 обращается порядка 5–8 тыс. вновь инфицированных машин, а в отдельные дни число регистраций новых ботов достигало 15 тысяч.

График, демонстрирующий динамику изменения численности ботнета в июне

Dinamika rosta bot-seti Win32.Rmnet.12 v iune 2012

Вирус обладает способностью к самокопированию, заражая исполняемые файлы, сменные носители информации и распространяясь с помощью встраиваемых в веб-страницы сценариев, написанных на языке VBScript. Вирус состоит из нескольких модулей, а его основной вредоносный функционал позволяет:

  • встраивать в просматриваемые веб-страницы посторонний контент (веб-инжекты);
  • перенаправлять пользователя на указанные злоумышленниками сайты;
  • передавать на удаленные узлы содержимое заполняемых жертвой форм.


Пример встраиваемых вирусом в веб-страницы скриптов

Scenarii na yazike VBScript

Ниже на рисунке представлен список URL интернет-ресурсов, доступ к которым блокируется вирусом, и перечень поисковых запросов, с использованием которых пользователь перенаправляется на принадлежащий злоумышленникам веб-сайт.

Spisok URL internet-resursov

Вирус "умеет" красть пароли от популярных FTP-клиентов (Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla и Bullet Proof FTP), а также запускает на инфицированной машине локальный FTP-сервер. Вирус поддерживает так называемую технологию обратного соединения (backconnect), используемую для подключения к внутренним сервисам. Благодаря этому становится возможным, например, установить связь с запущенным на инфицированном ПК FTP-сервером, даже если компьютер жертвы не имеет выделенного внешнего IP-адреса. Еще один компонент Win32.Rmnet.12 способен выполнять поступающие от удаленных центров команды и передавать на сайты злоумышленников похищенную с инфицированного компьютера информацию.

География распространения трояна за минувшие месяцы не претерпела серьезных изменений. Наибольшее количество инфицированных компьютеров приходится на долю:

  • Индонезии - 22,6%;
  • Бангладеш - 15,8%;
  • Вьетнам - 13,2%;
  • Индия - 7,9%;
  • Пакистан - 4,9%;
  • Египет - 3,5%;
  • Россия - 2,8%

от всего объема бот-сети, что в количественном выражении значительно больше по сравнению с показателями месячной давности.


Обновлено (29.06.2012 14:09)