Win32.Rmnet.16 - новый вид файлового вируса


В апреле 2012 года компания "Доктор Веб" сообщала о бот-сети, построенной злоумышленниками на базе файлового вируса Win32.Rmnet.12, превысившей по своей численности миллион инфицированных узлов. В последнее время специалистами компании было отмечено распространение новой модификации вируса, получившей наименование Win32.Rmnet.16. Основное отличие данной версии вредоносной программы от ее предшественницы заключается в использовании цифровой подписи, которой подписывается IP-адрес управляющего сервера, также вирусописатели обновили основные функциональные модули приложения. Подавляющее число случаев заражения вирусом Win32.Rmnet.16 приходится на долю Великобритании и Австралии.

Файловый вирус Win32.Rmnet.16 написан на языках С и Ассемблер и состоит из нескольких функциональных модулей. Инжектор, внедряющий вирус в операционную систему, встраивается в процессы браузера, сохраняет во временную папку собственный драйвер и запускает его в качестве системной службы Micorsoft Windows Service, затем копирует тело вируса во временную директорию и папку автозапуска со случайным именем и расширением .exe.

Функциональные возможности модуля бэкдора способны обрабатывать поступающие от удаленного центра директивы, в частности:

  • команды на скачивание и запуск произвольного файла;
  • обновление вируса;
  • создание и отправку злоумышленникам снимка экрана;
  • команду уничтожения операционной системы.


Win32.Rmnet.16 использует цифровую подпись, которой подписывается IP-адрес управляющего сервера, а адреса самих командных центров теперь не зашиты в ресурсах вредоносного приложения, а генерируются по специальному алгоритму. Модуль бэкдора обладает функционалом, позволяющим "убивать" процессы большинства наиболее распространенных антивирусных программ. Загруженные бэкдором компоненты вируса и конфигурационные файлы сохраняются в зашифрованный файл с расширением

  • .log

и именем, сгенерированным на основе информации о компьютере. Этот файл размещается в папке

  • %APPDATA%


Модуль, реализованный в библиотеке

  • modules.dll

загружает данные из файла с расширением

  • .log

и настраивает их непосредственно в оперативной памяти компьютера, вследствие чего используемые вирусом компоненты на жестком диске ПК не расшифровываются.

Win32.Rmnet.16 умеет выполнять запись в загрузочную область диска (MBR), а также сохранять свои файлы в конце диска в зашифрованном виде. После перезагрузки операционной системы управление передается инфицированной загрузочной записи, которая читает и расшифровывает в памяти вредоносные модули, после чего запускает их. Данный функциональный компонент вируса получил собственное наименование - MBR.Rmnet.1.

Среди других модулей, загружаемых Win32.Rmnet.16 с удаленных командных центров, следует отметить компонент Ftp Grabber v2.0, предназначенный для кражи паролей от популярных FTP-клиентов, собственный FTP-сервер, шпионский модуль и несколько других функциональных компонентов.

Инфектор в новой версии вируса полиморфный. При этом вирусный модуль инфектора загружается с удаленного сайта злоумышленников. Вирус инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и динамические библиотеки с расширением .dll, в том числе и системные, но, в отличие от Win32.Rmnet.12, не умеет копировать себя на съемные флеш-накопители.

Специалисты компании "Доктор Веб" внимательно отслеживают поведение одной из бот-сетей Win32.Rmnet.16. По данным на 11 мая 2012 года, данный ботнет насчитывает 55 310 инфицированных узлов, из которых расположены на территории:

  • Великобритании - 55,9%;
  • Австралия - 40%;
  • США и Франция - 1,3%;
  • Австрии, Ирана, Индии и Германии - менее 1%


Наибольшее количество случаев заражения Win32.Rmnet.16 приходится на долю

  • Лондона - 5747 инфицированных ПК или 10,4%;
  • Сидней - 3120 компьютеров, или 5,6%;
  • Мельбурн - 2670 случаев заражения, или 4,8%;
  • Брисбен - 2323 ПК, или 4,2%;
  • Перт - 1481 ПК, или 2,7%;
  • Аделаида - 1176 ПК, или 2,1%;
  • Бирмингеме и Манчестере - 1,5%.

Rasprostr bot-seti Win32.Rmnet.16 po stranam mira
Распространение бот-сети Win32.Rmnet.16 по странам мира

На территории России случаи заражения вирусом Win32.Rmnet.16 пока еще носят единичный характер, однако со временем ситуация может измениться.