Компания «Доктор Веб» сообщает о том,
что численность бот-сети Win32.Rmnet.12, за которой специалисты
компании внимательно следят с сентября 2011 года, в нынешнем месяце
превысила три миллиона инфицированных узлов. Файловый вирус
Win32.Rmnet.12 может представлять серьезную опасность для пользователей,
поскольку он способен красть пароли от популярных FTP-клиентов и
выполнять функции бэкдора.
В середине апреля 2012 года сообщалось
о том, что бот-сеть, созданная злоумышленниками с использованием
файлового вируса Win32.Rmnet.12, достигла по своей численности миллиона
инфицированных компьютеров. С тех пор количество заражений непрерывно
росло: уже к концу мая размер ботнета достиг отметки в 2,5 миллиона
рабочих станций, о чем компания «Доктор Веб» упоминала в майском обзоре
вирусной активности, а к концу июня численность сети преодолела отметку в
3,2 миллиона ботов. Рост бот-сети происходит достаточно интенсивно:
ежедневно к контролируемым компанией «Доктор Веб» управляющим серверам
Win32.Rmnet.12 обращается порядка 5–8 тысяч вновь инфицированных машин, а
в отдельные дни число регистраций новых ботов достигало 15 тысяч.
Вирус
обладает способностью к самокопированию, заражая исполняемые файлы,
сменные носители информации и распространяясь с помощью встраиваемых в
веб-страницы сценариев, написанных на языке VBScript. Вирус состоит из
нескольких модулей, его основной вредоносный функционал позволяет
встраивать в просматриваемые веб-страницы посторонний контент
(веб-инжекты), перенаправлять пользователя на указанные злоумышленниками
сайты, а также передавать на удаленные узлы содержимое заполняемых
жертвой форм.
Также вирус «умеет» красть пароли от популярных
FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla и
Bullet Proof FTP. Помимо этого, вредоносная программа запускает на
инфицированной машине локальный FTP-сервер. Вирус поддерживает так
называемую технологию обратного соединения (backconnect), используемую
для подключения к внутренним сервисам. Благодаря этому становится
возможным, например, установить связь с запущенным на инфицированном ПК
FTP-сервером, даже если компьютер жертвы не имеет выделенного внешнего
IP-адреса. Еще один компонент Win32.Rmnet.12 способен выполнять
поступающие от удаленных центров команды и передавать на сайты
злоумышленников похищенную с инфицированного компьютера информацию.
География
распространения троянца за минувшие месяцы не претерпела серьезных
изменений: наибольшее количество инфицированных компьютеров приходится
на долю Индонезии (22,6%) на втором месте находится Бангладеш (15,8%),
далее следуют Вьетнам (13,2%), Индия (7,9%), Пакистан (4,9%) и Египет
(3,5%). На долю России приходится 2,8% от всего объема бот-сети, что в
количественном выражении значительно больше по сравнению с показателями
месячной давности.
|