Win32.Sector - файловый вирус, заразивший миллионы компьютеров


Win32.Sector - сложный полиморфный вирус, способный распространяться самостоятельно (без участия пользователей) и заражать файловые объекты.

Основной функцией данного вредоноса является загрузка из P2P-сети и запуск на зараженной машине различных исполняемых файлов. Win32.Sector способен встраиваться в запущенные на инфицированном компьютере процессы, а также способен останавливать работу некоторых антивирусных программ и блокировать доступ к сайтам их разработчиков.

Также он может инфицировать файловые объекты на локальных дисках и сменных носителях (где в процессе заражения создает файл автозапуска autorun.inf), а также файлы, которые хранятся в общедоступных сетевых папках. По состоянию на середину мая 2015 года известно несколько модификаций Win32.Sector, которые различаются реализацией протокола обмена данными в P2P-сети и другими структурными особенностями.

Win32.Sector не имеет управляющих серверов, однако может соединяться с другими ботами, работающими на зараженных машинах. Он определяет, имеет ли компьютер внешний IP-адрес или работает в сети, использующей NAT. А после своего запуска на зараженном компьютере Win32.Sector использует начальный список IP-адресов других ботов, с которыми устанавливает соединение. И если эта операция завершилась успешно, то вредонос выполняет следующие команды:

  • Запрашивает файл конфигурации с URL для загрузки файлов (использует протокол UDP).
  • Запрашивает плагины (использует протокол TCP).
  • Проверяет наличие NAT и если он отсутствует, то бот получает уникальный идентификационный номер ID (использует протокол UDP).
  • Получает IP-адрес другой инфицированной машины для установки соединения (использует протокол UDP).


С использованием третьей команды, работающий на зараженной машине вирус начинает выполнять функции маршрутизатора. С ним соединяются другие боты, действующие в сетях с NAT и не имеющие внешнего IP-адреса. С помощью четвертой команды, вредонос получает список IP-адресов других инфицированных компьютеров.

По состоянию на 20 мая 2014 года, в ботнете Win32.Sector насчитывается 1 197 739 уникальных ботов, из которых 109 783 имеют внешний IP-адрес и могут выступать в роли маршрутизаторов для других зараженных узлов.

Rost chislennosti botseti Win32Sector
Динамика роста численности бот-сети Win32.Sector

В среднем ежесуточно активность проявляет около 60 000 инфицированных компьютеров.

Srednesutochnaya aktivnost botseti Win32Sector
Динамика среднесуточной активности ботнета Win32.Sector

Если рассматривать географию распространения вредоноса, то больше всего зараженных вирусом Win32.Sector компьютеров расположено на территории:

  • Тайваня — 212 401;
  • Египет - 108 770;
  • Индия - 106 249.

Karta rasprostraneniya botseti Win32Sector
Распространение файлового вируса Win32.Sector по странам мира

В настоящее время с использованием бот-сети Win32.Sector распространяется несколько вредоносных программ:

  • Trojan.PWS.Stealer.1630 — программа для хищения паролей и другой конфиденциальной информации;
  • Trojan.Mssmsgs.4048 — плагин для рассылки спама;
  • Trojan.DownLoader8.17844 — http- и socks5-прокси;
  • Trojan.DownLoader10.49375 — http- и socks5-прокси;
  • Trojan.Siggen6.11882 — DNS-туннель (53 udp порт), ТСР-туннель (80 порт);
  • Trojan.Rbrute — троянец для взлома Wi-Fi-роутеров;
  • Trojan.Proxy.26841— туннель для передачи http-трафика на заданные узлы.