Ботнет з 1.5 млн хостів

Ботнет з 1.5 млн хостів

admin Новини ІТ-безпеки

Ботнет з 1.5 млн хостівЗа допомогою вірусу Win32.Rmnet.12 зловмисник може виконати будь-яку команду на комп'ютері і навіть знищити операційну систему.

Розробник антивірусного програмного забезпечення компанія «Доктор Веб» повідомила про поширення вірусу Win32.Rmnet.12. Створена за допомогою даної шкідливої ​​програми ботмережа станом на 15 квітня налічувала 1400520 пристроїв на базі операційної системи Microsoft Windows.

Фахівці називають Win32.Rmnet.12 складним багатокомпонентним файловим вірусом, що володіє здатністю саморозмноження без участі користувача. Вразивши систему, шкідлива програма перевіряє, який браузер встановлений за замовчуванням і вбудовується в його процеси. Потім здійснюється збереження файлу в каталозі автозавантаження користувача з ім'ям, згенерованих на основі імені жорсткого диска і з атрибутом "прихований". У тій же папці створюється файл конфігурації, в якій записуються всі дані, необхідні для роботи.

На основі спеціального алгоритму вірус визначає ім'я C&C сервера і здійснює з ним з'єднання.

Серед виявлених у вірусі компонентів фахівці «Доктор Веб» відзначають модуль бекдор. Цей модуль з інтервалом в 70 секунд відправляє запити на такі web-ресурси, як google.com, bing.com і yahoo.com, аналізуючи швидкість отримання відповідей. Потім вся інформація передається керуючому серверу через FTP з'єднання. Бекдор здатний виконувати всі команди, в тому числі завантажувати і виконувати файли, оновлюватися, відправляти будь-яку інформацію і навіть знищити операційну систему.

Для поширення вірус користується двома основними способами. По-перше, експлуатуються уразливості браузерів, які дозволяють зберігати і запускати виконувані файли при відкритті спеціально сформованих web-сторінок. По-друге, Win32.Rmnet.12 інфікує всі виявлені на диску файли з розширенням .exe і копіює себе на знімні флеш-накопичувачі.

Компанія «Доктор Веб» у своєму повідомленні стверджує, що їй вдалося отримати повний контроль над ботмережою Win32.Rmnet.12. Фахівці з інформаційної безпеки вивчили протокол обміну даними між зараженими пристроями і C&C серверами і застосували метод sinkhole, який також застосовувався для вивчення ботмережі Flashback. Згодом були зареєстровані домени серверів управління двох підмереж, що використовуються зловмисниками для управління зараженими пристроями.

Що стосується географічного розташування вірусу - велика частина заражених систем припадає на Індонезію - 320 014 заражених пристроїв, або 27,12% всіх хостів ботнету.