Бот-сеть вируса Rmnet.12 – более миллиона компьютеров

--> Дата: Май 9, 2012 41

По сообщению компании «Доктор Веб», широкое распространение файлового вируса Win32.Rmnet.12 позволило злоумышленникам создать бот-сеть, насчитывающую более миллиона инфицированных компьютеров. Вирус Win32.Rmnet.12 заражает ПК на базе Microsoft Windows; он имеет функции бэкдора, а также выполняет кражу паролей (от популярных FTP-клиентов), которые могут быть использованы для организации сетевых атак или заражения сайтов. Обрабатывая поступающие от удаленного центра злоумышленников указания, Win32.Rmnet.12 также может дать команду на уничтожение ОС.

Вирус Win32.Rmnet.12, впервые выявленный специалистами «Доктор Веб» еще в сентябре 2011 г., проникает на компьютеры разным путем: через инфицированные флеш-накопители, зараженные исполняемые файлы, а также при помощи специальных скриптов, интегрированных в html-документы — они сохраняют на диск компьютера вирус при открытии вредоносной веб-страницы в окне браузера. Сигнатура подобных сценариев, написанных на языке VBScript, была добавлена в базы Dr.Web под именем VBS.Rmnet.

Win32.Rmnet.12 – это сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению (умеет копировать сам себя и бесконтрольно распространяться без участия пользователя). Запустившись в ОС, Win32.Rmnet.12 проверяет, какой браузер установлен по умолчанию (если тот не обнаружен, в качестве цели вирус выбирает Microsoft Internet Explorer) и встраивается в процессы браузера. Затем, сгенерировав имя собственного файла на основе серийного номера жесткого диска, вирус сохраняется в папку автозагрузки текущего пользователя и устанавливает для вредоносного файла атрибут «скрытый». В ту же папку сохраняется и конфигурационный файл, в который записываются необходимые для работы вредоносной программы данные. Затем на основе заложенного в него алгоритма вирус определяет имя управляющего сервера и пытается установить с ним соединение.

Одним из компонентов вируса является модуль бэкдора. После запуска он пытается определить скорость соединения компьютера с Интернетом, для чего с интервалом в 70 с отправляет запросы на сайты google.com, bing.com и yahoo.com, анализируя отклики. Затем Win32.Rmnet.12 запускает на инфицированной машине FTP-сервер и устанавливает соединение с командным центром, передавая ему сведения о зараженном компьютере. Бэкдор способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление самого себя, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы.

Другой функциональный компонент вируса предназначен для кражи паролей от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других. Эти данные впоследствии могут быть использованы злоумышленниками для организации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. В результате поиска в cookies пользователя злоумышленники могут получить доступ к учетным записям жертвы на различных сайтах, требующих авторизации. Кроме того, функционал модуля позволяет блокировать отдельные сайты и перенаправлять пользователя на принадлежащие вирусописателям интернет-ресурсы. Одна из модификаций Win32.Rmnet.12 также способна осуществлять веб-инжекты, благодаря чему вирус может похищать банковскую информацию.

Распространение вируса происходит несколькими путями: во-первых, с использованием уязвимостей браузеров, позволяющих сохранять и запускать исполняемые файлы при открытии веб-страниц. Вирус выполняет поиск всех хранящихся на дисках файлов html и добавляет в них код на языке VBScript. Помимо этого, Win32.Rmnet.12 инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и умеет копировать себя на съемные флеш-накопители, сохраняя в корневую папку файл автозапуска и ярлык, ссылающийся на вредоносное приложение, которое в свою очередь запускает вирус.

Спустя некоторое время специалисты проанализировали также протокол обмена данными между ботнетом и управляющими центрами, что позволило не только определять количество ботов в сети, но и контролировать их поведение. В феврале 2012 г. аналитики «Доктор Веб» применили известный метод sinkhole, который впоследствии успешно использовался для изучения сети троянцев BackDoor.Flashback.39, а именно были зарегистрированы домены управляющих серверов одной из сетей Win32.Rmnet.12, что позволило установить полный и всеобъемлющий контроль над этим ботнетом. В конце февраля аналогичным образом была захвачена вторая подсеть Win32.Rmnet.12.

Первоначально количество составляющих сеть Win32.Rmnet.12 инфицированных машин насчитывало всего несколько сотен тысяч ботов, однако это число постепенно увеличивалось. По данным на 15 апреля, ботнет Win32.Rmnet.12 состоял из 1400520 зараженных узлов и продолжает уверенно расти.

Следует отметить, что компания «Доктор Веб» полностью контролирует вирусную сеть Win32.Rmnet.12, благодаря чему злоумышленники больше не могут получить к ней доступ и нанести вред инфицированным компьютерам.