Антивирусная компания “Доктор Веб” снова прислала новости об очередном ботнете, который им удалось нейтрализовать, а точнее, перехватить у злоумышленников с помощью технологии Sinkhole. С одной стороны, это относительно стандартный ботнет – в том плане, что он состоит из почти полутора миллиона компьютеров под управлением ОС Windows. С другой стороны, отличительной чертой вредоносной сети является её “агент-разносчик”: это файловый вирус Win32.Rmnet.12 – зловред, относящийся к классу, который всё меньше в ходу у сетевых злоумышленников.

Вирус, так сказать, развесистый: он обладает функциями саморазмножения, возможностями бэкдора (устанавливает собственный FTP-сервер и через него обменивается данными с командным сервером); вирус способен воровать пароли от наиболее популярных FTP-клиентов, а также добывать авторизационные данные из cookies и уничтожать операционную систему на компьютере.

По поводу распространения вируса компания “Доктор Веб” сообщает следующее:

Распространение вируса происходит несколькими путями: во-первых, с использованием уязвимостей браузеров, позволяющих сохранять и запускать исполняемые файлы при открытии веб-страниц. Вирус выполняет поиск всех хранящихся на дисках файлов html и добавляет в них код на языке VBScript. Помимо этого, Win32.Rmnet.12 инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и умеет копировать себя на съёмные флеш-накопители, сохраняя в корневую папку файл автозапуска и ярлык, ссылающийся на вредоносное приложение, которое, в свою очередь, запускает вирус.

Ботнет был впервые обнаружен осенью 2011 года, сразу после того, как образец вируса попал к аналитикам “Доктор Веб”. Позднее были расшифрованы имена управляющих серверов и протокол обмена данными, что позволило применить метод Sinkhole и перехватить (дважды) управление ботнетом у его владельцев.

По данным на 15 апреля 2012 года ботнет Win32.Rmnet.12 состоит из 1 400 520 заражённых узлов и продолжает расти.

Статистика географического расположения узлов ботнета выглядит так:

Наибольшее количество заражённых ПК приходится на долю Индонезии — 320 014 инфицированных машин, или 27,12 процента. На втором месте находится государство Бангладеш с числом заражений 166 172, что составляет 14,08 процента от размеров всего ботнета. На третьем месте — Вьетнам (154415 ботов, или 13,08 процента), далее следуют Индия (83 254 ботов, или 7,05 процента), Пакистан (46802 ботов, или 3,9 процента), Россия (43153 инфицированных машин, или 3,6 процента), Египет (33261 ботов, или 2,8 процента), Нигерия (27877 ботов, или 2,3 процента), Непал (27705 ботов, или 2,3 процента) и Иран (23742 ботов, или 2,0 процента).

Достаточно велико количество пострадавших от данного вируса на территории Казахстана (19773 случаев заражения, или 1,67 процента) и Беларуси (14196 ботов, или 1,2 процента). В Украине зафиксировано 12 481 случай инфицирования Win32.Rmnet.12, что составляет 1,05 процента от размеров всей бот-сети.

Относительно небольшое количество заражённых компьютеров выявлено в США — 4327 единиц, что соответствует 0,36 процента. Ну а меньше всего случаев приходится на долю Канады (250 компьютеров, или 0,02 процента от объёмов сети) и Австралии (всего лишь 46 компьютеров).

На данный момент “Доктор Веб”, по их же собственным утверждениям, полностью контролируют ботнет Win32.Rmnet.12, так что причинить вред заражённым компьютерам, например дать команду на уничтожение, её владельцы не смогут. Однако сами заражения продолжаются.