14 мая 2012 года

В апреле 2012 года компания «Доктор Веб» — российский разработчик средств информационной безопасности — уже сообщала о том, что бот-сеть, построенная злоумышленниками на базе файлового вируса Win32.Rmnet.12, превысила по своей численности миллион инфицированных узлов. В последнее время специалистами «Доктор Веб» было отмечено распространение новой модификации вируса, получившей наименование Win32.Rmnet.16. Основное отличие данной версии вредоносной программы от ее предшественницы заключается в использовании цифровой подписи, которой подписывается IP-адрес управляющего сервера, также вирусописатели обновили основные функциональные модули приложения. Подавляющее число случаев заражения вирусом Win32.Rmnet.16 приходится на долю Великобритании и Австралии.

Файловый вирус Win32.Rmnet.16 написан на языках С и Ассемблер и состоит из нескольких функциональных модулей. Инжектор, внедряющий вирус в операционную систему, действует в точности так же, как и аналогичный компонент вируса Win32.Rmnet.12: встраивается в процессы браузера, сохраняет во временную папку собственный драйвер и запускает его в качестве системной службы Micorsoft Windows Service, затем копирует тело вируса во временную директорию и папку автозапуска со случайным именем и расширением .exe.

Функциональные возможности модуля бэкдора в целом идентичны такому же модулю, входящему в состав Win32.Rmnet.12. Данный компонент способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление вируса, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы. Однако имеются в нем и существенные отличия: Win32.Rmnet.16 использует цифровую подпись, которой подписывается IP-адрес управляющего сервера, а адреса самих командных центров теперь не зашиты в ресурсах вредоносного приложения, а генерируются по специальному алгоритму. Кроме того, модуль бэкдора обладает функционалом, позволяющим «убивать» процессы большинства наиболее распространенных антивирусных программ, что само по себе является дополнительным фактором, свидетельствующим об опасности данной вредоносной программы. Загруженные бэкдором компоненты вируса и конфигурационные файлы сохраняются в зашифрованный файл с расширением .log и именем, сгенерированным на основе информации о компьютере. Этот файл размещается в папке %APPDATA%. Модуль, реализованный в библиотеке modules.dll, загружает данные из файла с расширением .log и настраивает их непосредственно в оперативной памяти компьютера, вследствие чего используемые вирусом компоненты на жестком диске ПК не расшифровываются.

Как и предыдущая версия вируса, Win32.Rmnet.16 умеет выполнять запись в загрузочную область диска (MBR), а также сохранять свои файлы в конце диска в зашифрованном виде. После перезагрузки операционной системы управление передается инфицированной загрузочной записи, которая читает и расшифровывает в памяти вредоносные модули, после чего запускает их. Данный функциональный компонент вируса получил собственное наименование: MBR.Rmnet.1. Следует отметить, что антивирусные программы Dr.Web позволяют восстанавливать загрузочную запись, модифицированную Win32.Rmnet.

Среди других модулей, загружаемых Win32.Rmnet.16 с удаленных командных центров, следует отметить компонент Ftp Grabber v2.0, предназначенный для кражи паролей от популярных FTP-клиентов, собственный FTP-сервер, шпионский модуль и несколько других функциональных компонентов.

Инфектор в новой версии вируса полиморфный, при этом вирусный модуль инфектора загружается с удаленного сайта злоумышленников. Вирус инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и динамические библиотеки с расширением .dll, в том числе и системные, но, в отличие от Win32.Rmnet.12, не умеет копировать себя на съемные флеш-накопители.

Специалисты компании «Доктор Веб» внимательно отслеживают поведение одной из бот-сетей Win32.Rmnet.16. По данным на 11 мая 2012 года, данный ботнет насчитывает 55 310 инфицированных узлов, из которых больше половины (55,9%) расположены на территории Великобритании. На втором месте, с показателем 40% от общей численности вирусной сети, следует Австралия, почетное третье место (1,3%) делят США и Франция, менее 1% инфицированных компьютеров располагается на территории Австрии, Ирана, Индии и Германии. Наибольшее количество случаев заражения Win32.Rmnet.16 приходится на долю Лондона (5747 инфицированных ПК, или 10,4%), второй по численности выявленных ботов мегаполис — Сидней (3120 компьютеров, или 5,6%), далее следуют австралийские города Мельбурн (2670 случаев заражения, или 4,8%), Брисбен (2323 ПК, или 4,2%), Перт (1481 ПК, или 2,7%) и Аделаида (1176 ПК, или 2,1%). Порядка 1,5% инфицированных машин расположено в английских городах Бирмингеме и Манчестере. Распределение бот-сети Win32.Rmnet.16 по странам показано на представленной ниже иллюстрации.

Распространение бот-сети Win32.Rmnet.16 по странам мира

На территории России случаи заражения вирусом Win32.Rmnet.16 пока еще носят единичный характер, однако со временем ситуация может измениться. Специалисты компании «Доктор Веб» продолжают внимательно следить за данным ботнетом.