Новая модификация вируса Win32.Rmnet

По сообщению компании «Доктор Веб», в последнее время ее специалисты отмечают распространение новой модификации файлового вируса Win32.Rmnet.12, получившей наименование Win32.Rmnet.16 (по данным компании, в апреле бот-сеть на базе Win32.Rmnet.12 превысила по своей численности миллион инфицированных узлов). Основное отличие новой версии вредоносной программы от предшественницы заключается в использовании цифровой подписи, которой подписывается IP-адрес управляющего сервера. Вирусописатели также обновили основные функциональные модули приложения. Подавляющее число случаев заражения вирусом Win32.Rmnet.16 приходится на долю Великобритании и Австралии.

Файловый вирус Win32.Rmnet.16 написан на языках С и Assembler и состоит из нескольких функциональных модулей. Инжектор, внедряющий вирус в ОС, действует так же, как и аналогичный компонент вируса Win32.Rmnet.12: встраивается в процессы браузера, сохраняет во временную папку собственный драйвер и запускает его в качестве системной службы Micorsoft Windows Service, затем копирует тело вируса во временную директорию и папку автозапуска со случайным именем и расширением .exe.

Функциональные возможности модуля бэкдора в целом идентичны такому же модулю, входящему в состав Win32.Rmnet.12. Компонент способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление вируса, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения ОС. Однако имеются в нем и существенные отличия: Win32.Rmnet.16 использует цифровую подпись, которой подписывается IP-адрес управляющего сервера, а адреса самих командных центров теперь не зашиты в ресурсах вредоносного приложения, а генерируются по специальному алгоритму. Кроме того, модуль бэкдора обладает функционалом, позволяющим «убивать» процессы большинства наиболее распространенных антивирусных программ, что само по себе свидетельствует об опасности данного вируса. Загруженные бэкдором компоненты вируса и конфигурационные файлы сохраняются в зашифрованный файл с расширением .log и именем, сгенерированным на основе информации о компьютере. Этот файл размещается в папке %APPDATA%. Модуль, реализованный в библиотеке modules.dll, загружает данные из файла с расширением .log и настраивает их непосредственно в оперативной памяти компьютера, вследствие чего используемые вирусом компоненты на жестком диске ПК не расшифровываются.

Как и предыдущая версия, Win32.Rmnet.16 умеет выполнять запись в загрузочную область диска (MBR), а также сохранять свои файлы в конце диска в зашифрованном виде. После перезагрузки ОС управление передается инфицированной загрузочной записи, которая читает и расшифровывает в памяти вредоносные модули, после чего запускает их. Этот функциональный компонент вируса получил собственное наименование: MBR.Rmnet.1.

Среди других модулей, загружаемых Win32.Rmnet.16 с удаленных командных центров, следует отметить компонент Ftp Grabber v2.0, предназначенный для кражи паролей от популярных FTP-клиентов, собственный FTP-сервер, шпионский модуль и несколько других функциональных компонентов.

Инфектор в новой версии вируса полиморфный, при этом вирусный модуль инфектора загружается с удаленного сайта злоумышленников. Вирус инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и динамические библиотеки с расширением .dll, в том числе и системные, но, в отличие от Win32.Rmnet.12, не умеет копировать себя на съемные флэш-накопители.

На территории России случаи заражения вирусом Win32.Rmnet.16 пока еще носят единичный характер, однако со временем ситуация может измениться.