Миллионная бот-сеть из Windows машин


Специалисты компании "Доктор Веб" сообщают о широком распространении файлового вируса Win32.Rmnet.12, c помощью которого злоумышленники создали бот-сеть, насчитывающую более миллиона инфицированных компьютеров. Вирус Win32.Rmnet.12 заражает ПК на базе Microsoft Windows, реализуя функции бэкдора, а также осуществляя кражу паролей (от популярных FTP-клиентов), которые могут быть использованы для организации сетевых атак или заражения сайтов. Обрабатывая поступающие от удаленного центра злоумышленников указания, Win32.Rmnet.12 также может дать команду на уничтожение операционной системы.

Win32.Rmnet.12 проникает на компьютеры разным путем:

  • через инфицированные флеш-накопители;
  • зараженные исполняемые файлы;
  • при помощи специальных скриптов, интегрированных в html-документы.


Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению (умеет копировать сам себя и бесконтрольно распространяться без участия пользователя).

Запустившись в операционной системе, Win32.Rmnet.12 проверяет браузер по умолчанию (если таковой не обнаружен, вирус выбирает в качестве цели Microsoft Internet Explorer) и встраивается в процессы браузера. Сгенерировав имя собственного файла на основе серийного номера жесткого диска, вирус сохраняется в папку автозагрузки текущего пользователя и устанавливает для вредоносного файла атрибут "скрытый". В ту же папку сохраняется и конфигурационный файл, в который записываются необходимые для работы вредоносной программы данные. На основе заложенного в него алгоритма вирус определяет имя управляющего сервера и пытается установить с ним соединение.

Одним из компонентов вируса является модуль бэкдора. После запуска он пытается определить скорость соединения компьютера с Интернетом, для чего с интервалом в 70 секунд отправляет запросы на сайты

  • google.com;
  • bing.com;
  • yahoo.com

анализируя отклики. Затем Win32.Rmnet.12 запускает на инфицированной машине FTP-сервер и устанавливает соединение с командным центром, передавая ему сведения о зараженном компьютере. Бэкдор способен обрабатывать поступающие от удаленного центра директивы, в частности:

  • команды на скачивание и запуск произвольного файла;
  • обновление самого себя;
  • создание и отправку злоумышленникам снимка экрана;
  • команду уничтожения операционной системы.


Другой функциональный компонент вируса предназначен для кражи паролей от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других. Эти данные впоследствии могут быть использованы злоумышленниками для организации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. К тому же Win32.Rmnet.12 не брезгует покопаться и в cookies пользователя, в результате чего злоумышленники могут получить доступ к учетным записям жертвы на различных сайтах, требующих авторизации. Кроме того, модуль обладает функционалом, позволяющим осуществлять блокировку отдельных сайтов и перенаправление пользователя на принадлежащие вирусописателям интернет-ресурсы. Одна из модификаций Win32.Rmnet.12 также способна осуществлять веб-инжекты, благодаря чему вирус может похищать банковскую информацию.

Распространение вируса происходит с использованием уязвимостей браузеров, позволяющих сохранять и запускать исполняемые файлы при открытии веб-страниц. Вирус выполняет поиск всех хранящихся на дисках файлов html и добавляет в них код на языке VBScript. Помимо этого, Win32.Rmnet.12 инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и умеет копировать себя на съемные флеш-накопители, сохраняя в корневую папку файл автозапуска и ярлык, ссылающийся на вредоносное приложение, которое в свою очередь запускает вирус.

Специалистами компании "Доктор Веб" были расшифрованы хранящиеся в ресурсах Win32.Rmnet.12 имена управляющих серверов. Спустя некоторое время специалисты проанализировали также протокол обмена данными между ботнетом и управляющими центрами. Это позволило определять количество ботов в сети и контролировать их поведение. 14 февраля 2012 года аналитиками компании "Доктор Веб" применили метод sinkhole - метод для изучения сети троянов BackDoor.Flashback.39. Узнав зарегистрированные домены управляющих серверов одной из сетей Win32.Rmnet.12, появилась возможность установить полный и всеобъемлющий контроль над этим ботнетом. В конце февраля аналогичным образом была захвачена вторая подсеть Win32.Rmnet.12.

Первоначально количество составляющих сеть Win32.Rmnet.12 инфицированных машин было относительно невелико и насчитывало несколько сотен тысяч ботов, однако это число постепенно увеличивалось. По данным на 15 апреля 2012 года, ботнет Win32.Rmnet.12 состоит из 1 400 520 зараженных узлов и продолжает уверенно расти.

Rost rasprostraneniya idinamika registracii v seti novih botov

Наибольшее количество зараженных ПК приходится:

  • Индонезии - 320 014 инфицированные машины (27,12%);
  • Бангладеш - 166 172 (14,08%);
  • Вьетнам - 154 415 (13,08%);
  • Индия - 83 254 (7,05%);
  • Пакистан - 46 802 (3,9%);
  • Россия - 43 153 (3,6%);
  • Египет - 33 261 (2,8%);
  • Нигерия - 27 877 (2,3%);
  • Непал - 27 705 (2,3%);
  • Иран - 23 742 (2,0%).
  • Казахстан - 19 773 (1,67%);
  • Беларусия - 14 196 (1,2%);
  • Украина - 12 481 (1,05%);
  • США - 4 327 (0,36%);
  • Канада - 250 (0,02%);
  • Австралия - 46;
  • Албания, Дания и Таджикистан - по 1 ПК.

Geograficheskoe raspredelenie botneta

Для удаления вируса Win32.Rmnet.12 следует воспользоваться лечащей утилитой Dr.Web CureIt! или загрузочным компакт-диском Dr.Web LiveCD.