ДОКТОР ВЕБ. WINDOWS ВИРУС WIN32.RMNET.12

DrWebПо информации от компании «Доктор Веб» стало известно о том, что широкое распространение получил файловый вирус Win32.Rmnet.12, который используется злоумышленниками для формирования бот-сети в которой уже насчитывается порядка миллиона компьютеров. Вирус Win32.Rmnet.12 инфицирует системы на базе Microsoft Windows, выполняет backdoor функцию и похищает пароли пользователей от FTP-клиентов. В дальнейшем полученные данные могут быть задействования для инфицирования сайтов и сетевых атак. Вирус получает от злоумышленников команды с удаленных серверов и может вывести из строя операционную систему.

Вирус Win32.Rmnet.12 может инфицировать ПК несколькими способами: через съемные флеш накопители, зараженные .exe файлы, а также через VBScript сценарии встроенные в html файлы — они сохраняют документ на целевой системе для дальнейшего открытия зараженной веб страницы в браузере. Сигнатура таких VBScript сценариев, значится в базах Dr.Web под названием VBS.Rmnet.

Win32.Rmnet.12 — представляет собой сложный вирус состоящий из множества модулей и способен множить самого себя. После запуска на целевой системе, Win32.Rmnet.12 выясняет какой браузер установлен по умолчанию (в случае не обнаружения такового, главной целью становится Microsoft Internet Explorer) и интегрируется в процессы веб обозревателя. Далее, вирус копирует серийный номер жесткого диска и на основе его генерирует свое ими, после чего сохраняет себя в директорию автозагрузки и выставляет себе атрибут «скрытый». Там же хранится и файл с конфигурацией вируса которые необходимы для дальнейших вредоносных действий. После успешной установки вирус определяет адрес своего сервера и делает попытки установить с ним связь.

Одним из модулей вируса является возможность открытия бэкдора. Вирус сначала определяет скорость интернет соединения, для этого каждые 70 секунд посылает запросы на популярные поисковые системы. Главной задаче бекдора является запуск на инфицированном компьютере FTP-сервера с дальнейшей отправкой на удаленный сервер подробных сведений о компьютере. Бекдор нужен для обработки поступающих команд, а именно команд на загрузку и последующий запуск исполняемых файлов, самообновление, снятие и отправку скриншотов.

Win32.Rmnet.12 также обладает модулем для похищения паролей от самых популярных FTP-клиентов, к примеру FileZilla, CuteFTP, Bullet Proof FTP, WS FTP, Ghisler. Полученные сведения в дальнейшем могут быть использованы для сетевых атак или компрометации целевых веб сайтов с размещением на их серверах вредоносных файлов. Злоумышленники также не забыли и про cookies с помощью которых они могут получить доступ к учетным записям пользователей на сайтах требующих авторизации. Кроме того, вирус способен перенаправлять пользователей на фишнговые сайты или блокировать некоторые веб ресурсы.

Изначально, число инфицированных вирусом Win32.Rmnet.12 систем измерялось сотнями тысяч, однако эта цифра продолжает расти. По состоянию на 15 апреля 2012 года, в бот-сеть Win32.Rmnet.12 входит порядка 1 400 520 зараженных систем, и эта цифра постоянно растет.

 

Отзывы и комментарии

Поставьте оценку и поделитесь сдрузьями

+1+2+3+4+5 (голосов 3, среднее: 5,00 из 5)
Загрузка...