Вы используете устаревший браузер!

Страница может отображаться некорректно.

Бесплатно демо
Dr.Web для Android
Скачать

Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум
Профиль

Назад к списку новостей

Ботнет Rmnet живее всех живых!

27 февраля 2015 года

Несмотря на многочисленные сообщения новостных агентств о том, что Европолом была проведена масштабная операция с целью прекращения деятельности ботнета Rmnet, специалисты компании «Доктор Веб» продолжают наблюдать активность со стороны этой бот-сети. Согласно представленным средствами массовой информации данным, сотрудники отдела по борьбе с киберпреступностью полиции Великобритании совместно со специалистами из Германии, Италии и Нидерландов пресекли деятельность нескольких крупных управляющих серверов Rmnet.

По сообщениям информационных агентств, 24 февраля 2015 года общими усилиями ряда организаций были отключены командные серверы бот-сети Rmnet. В операции принимал участие Европейский центр борьбы с киберпреступлениями Европола (Europol's European Cybercrime Centre), CERT-EU (Computer Emergency Response Team), компании Symantec, Microsoft, AnubisNetworks и другие организации из стран Европы. Так, на веб-странице Европола сообщается, что специалистам по информационной безопасности удалось перехватить порядка 300 доменов управляющих серверов, сгенерированных вредоносной программой, а агентство «Рейтерс» упоминает о том, что в ходе операции было заблокировано 7 действующих управляющих серверов. По информации компании Symantec, в результате этой операции прекращена деятельность ботнета, состоящего из 350 000 инфицированных устройств, а по данным Microsoft их общее количество может достигать 500 000.

Специалисты компании «Доктор Веб» отслеживают несколько подсетей ботнетов, созданных злоумышленниками с использованием различных версий файлового вируса Rmnet. Так, модификация, получившая наименование Win32.Rmnet.12, известна еще с сентября 2011 года. Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению. Он в состоянии выполнять поступающие от злоумышленников команды, встраивать в просматриваемые пользователем веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других.

Более поздняя модификация вируса, Win32.Rmnet.16, отличается от своей предшественницы рядом архитектурных особенностей, например, использованием цифровой подписи при выборе управляющего сервера. Вирус также способен выполнять команды на скачивание и запуск произвольного файла, обновление вируса, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы. Кроме того, модуль бэкдора обладает функционалом, позволяющим «убивать» процессы большинства наиболее распространенных антивирусных программ. Как и предыдущая версия вируса, Win32.Rmnet.16 умеет выполнять запись в загрузочную область диска (MBR), а также сохранять свои файлы в конце диска в зашифрованном виде.

Несмотря на то, что многочисленные информационные агентства рапортуют об успехе операции по блокированию деятельности ботнета Rmnet, специалисты компании «Доктор Веб» не отмечают снижения активности бот-сетей, за поведением которых вирусная лаборатория ведет непрерывное наблюдение. Всего на сегодняшний день специалистам «Доктор Веб» известно как минимум 12 подсетей Rmnet, использующих алгоритм генерации доменов управляющих серверов, и как минимум две подсети Win32.Rmnet.12, не использующие автоматическую генерацию доменов (из первой категории специалистами Symantec заблокирована только одна подсеть с seed 79159c10).

Так, в двух подсетях ботнета Win32.Rmnet.12 среднесуточная активность по-прежнему составляет порядка 250 000 – 270 000 инфицированных узлов, что наглядно показано на приведенных ниже графиках:

Среднесуточная активность ботнета Win32.Rmnet.12, 1-я подсеть
screen

Среднесуточная активность ботнета Win32.Rmnet.12, 2-я подсеть
screen

В отслеживаемой специалистами «Доктор Веб» подсети Win32.Rmnet.16 наблюдается значительно меньшая ежесуточная активность, но и здесь не отмечается каких-либо «провалов», связанных с возможной блокировкой управляющих серверов:

Среднесуточная активность ботнета Win32.Rmnet.16
screen

Схожая ситуация наблюдается и при отслеживании активности компьютеров, на которых действуют вредоносные модули, получившие общее обозначение Trojan.Rmnet.19:

Среднесуточная активность ботнета Trojan.Rmnet.19
screen

Приведенная статистика свидетельствует о том, что организаторы мероприятия по уничтожению бот-сети Rmnet, по всей видимости, сумели ликвидировать далеко не все управляющие серверы данного ботнета. По крайней мере, как минимум 500 000 инфицированных различными модификациями данного вируса ПК все еще продолжают активно действовать, обращаясь к уцелевшим командным серверам. Компания «Доктор Веб» будет следить за дальнейшим развитием ситуации.

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2017

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А