Еще раз об активности ботнета Rmnet

По сообщению компании «Доктор Веб», ее специалисты продолжали наблюдать активность бот-сети Rmnet даже после того, как Европол провел масштабную операцию для прекращения деятельности ботнета. По сведениям информагентств, 24 февраля были отключены командные серверы Rmnet; в операции принимал участие Европейский центр борьбы с киберпреступлениями Европола, CERT-EU, компании Symantec, Microsoft, Anubis Networks и другие организации стран Европы. Так, по данным Европола, специалистам по информационной безопасности удалось перехватить порядка 300 доменов управляющих серверов, сгенерированных вредоносной программой, а Reuters упоминает о том, что в ходе операции было заблокировано 7 действующих управляющих серверов. По информации Symantec, в результате этой операции прекращена деятельность ботнета, состоящего из 350 тыс. инфицированных устройств, а по данным Microsoft их общее количество может достигать 500 тыс.

Вирусная лаборатория «Доктор Веб» отслеживает несколько подсетей ботнетов, созданных с использованием различных версий файлового вируса Rmnet, в том числе модификаций Win32.Rmnet.12 и Win32.Rmnet.16. Всего на сегодняшний день специалистам известно как минимум 12 подсетей Rmnet, использующих алгоритм генерации доменов управляющих серверов, и как минимум две подсети Win32.Rmnet.12, не использующие автоматическую генерацию доменов (из первой категории специалистами Symantec заблокирована только одна подсеть с seed 79159c10).

В «Доктор Веб» не отмечают снижения активности бот-сетей, за поведением которых ведется непрерывное наблюдение. Так, в двух подсетях ботнета Win32.Rmnet.12 среднесуточная активность по-прежнему составляет примерно 250–270 тыс. инфицированных узлов. В подсети Win32.Rmnet.16 ежесуточная активность значительно меньше, но и здесь не отмечается провалов, связанных с возможной блокировкой управляющих серверов. Сходная ситуация имеет место и при отслеживании активности компьютеров, на которых действуют вредоносные модули, получившие общее обозначение Trojan.Rmnet.19.

По-видимому. это говорит о том, что организаторы мероприятия по уничтожению бот-сети Rmnet сумели ликвидировать далеко не все управляющие серверы данного ботнета. По крайней мере 500 тыс. инфицированных различными модификациями данного вируса ПК все еще продолжают активно действовать, обращаясь к уцелевшим командным серверам.