Ботнет Rmnet [Новости]

Специалисты российской антивирусной компании "Доктор Веб" обнаружили бот-сеть из более чем 1,4 миллиона компьютеров, зараженных многофункциональной вирусной программой Win32.Rmnet.12.



МОСКВА, 18 апр - РИА Новости. Специалисты российской антивирусной компании "Доктор Веб" обнаружили бот-сеть из более чем 1,4 миллиона компьютеров, зараженных многофункциональной вирусной программой Win32.Rmnet.12, сообщила пресс-служба компании.

Бот-сеть стала одной из крупнейших, обнаруженных в последнее время, и, как утверждают эксперты "Доктор Веб", ее размеры продолжают расти.

"Первоначально количество составляющих сеть Win32.Rmnet.12 инфицированных машин было относительно невелико и насчитывало несколько сотен тысяч ботов, однако это число постепенно увеличивалось. По данным на 15 апреля, ботнет Win32.Rmnet.12 состоит из 1,45 млн зараженных узлов, и продолжает уверенно расти", - говорится в сообщении компании.

Впервые эксперты обнаружили вирус Win32.Rmnet.12 осенью минувшего года. Как утверждают в "Доктор Веб", одна из особенностей этой вредоносной программы в том, что она - в отличие от "обычных" троянских программ, используемых хакерами для создания бот-сетей - может копировать сама себя и бесконтрольно распространяться без участия пользователя.

Помимо автоматической загрузки через браузер, начинающейся при посещении веб-страницы с внедренным вредоносным кодом, заражение может произойти через зараженные исполняемые файлы, а также съемные носители - вредоносная программа умеет копировать себя на съемные флеш-накопители и автоматически запускаться при подключении накопителя к компьютеру.

Попав в ПК, программа сообщает на управляющий сервер, принадлежащий злоумышленникам, об успешной инсталляции и ждет команд от киберпреступников.

Как сообщает "Доктор Веб", данное вредоносное ПО позволяет обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление самого себя, создание и отправку злоумышленникам снимка экрана и даже команду на вывод операционной системы из строя.

Наиболее широкое распространение данный вирус получил в Индонезии, где эксперты обнаружили 320 тысяч инфицированных машин, или 27,12% от общего размера бот-сети. На втором месте находится Бангладеш с числом заражений 166,1 тысячи (14,08%). На третьем месте - Вьетнам, где обнаружено 154,4 тысячи ботов (13,08%), далее следуют Индия с 83,2 тысячами ботов (7,05%), Пакистан (46,8 тысячи ботов, или 3,9% бот-сети), Россия (43,1 тысячи инфицированных машин, или 3,6%) и Египет (33,2 тысячи ботов, или 2,8%).

"Достаточно велико количество пострадавших от данного вируса на территории Казахстана (19,7 тысячи случаев заражения или 1,67% от общих размеров сети) и Белоруссии (14,1 тысячи ботов, или 1,2% бот-сети)", - отметили в компании.

По мнению экспертов "Доктор Веб", злоумышленникам удалось создать бот-сеть столь внушительных размеров, в том числе из-за эффективности самого вируса, которая, в частности, проявляется в способности заражать компьютеры пользователя несколькими разными способами.

Win32.Rmnet.12 - уже вторая с начала апреля крупная бот-сеть, об обнаружении которой заявляет компания "Доктор Веб". В начале апреля антивирусная компания сообщила о ботнете из более чем 700 тысяч компьютеров Apple Mac, что стало открытием, поскольку ранее о случаях столь массового заражения компьютеров Mac известно не было.

Компания "Доктор Веб", основанная в 2003 году, - российский разработчик средств информационной безопасности. Антивирусные продукты под маркой Dr.Web разрабатываются с 1992 года.

18.04.2012
http://digit.ru/internet/20120418/391052685.html​

 

Ботнет Rmnet насчитывает свыше миллиона зараженных компьютеров

Компания «Доктор Веб» сегодня сообщила о широком распространении файлового вируса Win32.Rmnet.12, c помощью которого злоумышленники создали бот-сеть, насчитывающую более миллиона инфицированных компьютеров. Вирус Win32.Rmnet.12 заражает ПК на базе Microsoft Windows, реализуя функции бэкдора, а также осуществляя кражу паролей (от популярных FTP-клиентов), которые могут быть использованы для организации сетевых атак или заражения сайтов. Обрабатывая поступающие от удаленного центра злоумышленников указания, Win32.Rmnet.12 также может дать команду на уничтожение операционной системы.

Впервые информация о вирусе Win32.Rmnet.12 была добавлена в базы Dr.Web еще в сентябре 2011 года. Начиная с этого момента специалисты компании следили за развитием этой угрозы. Вирус проникает на компьютеры разным путем: через инфицированные флеш-накопители, зараженные исполняемые файлы, а также при помощи специальных скриптов, интегрированных в html-документы — они сохраняют на диск компьютера вирус при открытии вредоносной веб-страницы в окне браузера.

Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению (умеет копировать сам себя и бесконтрольно распространяться без участия пользователя). Запустившись в операционной системе, Win32.Rmnet.12 проверяет, какой браузер установлен по умолчанию (если таковой не обнаружен, вирус выбирает в качестве цели Microsoft Internet Explorer) и встраивается в процессы браузера. Затем, сгенерировав имя собственного файла на основе серийного номера жесткого диска, вирус сохраняется в папку автозагрузки текущего пользователя и устанавливает для вредоносного файла атрибут «скрытый». В ту же папку сохраняется и конфигурационный файл, в который записываются необходимые для работы вредоносной программы данные. Затем на основе заложенного в него алгоритма вирус определяет имя управляющего сервера и пытается установить с ним соединение.

Одним из компонентов вируса является модуль бэкдора. После запуска он пытается определить скорость соединения компьютера с Интернетом, для чего с интервалом в 70 секунд отправляет запросы на сайты google.com, bing.com и yahoo.com, анализируя отклики. Затем Win32.Rmnet.12 запускает на инфицированной машине FTP-сервер и устанавливает соединение с командным центром, передавая ему сведения о зараженном компьютере. Бэкдор способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление самого себя, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы.

Другой функциональный компонент вируса предназначен для кражи паролей от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других. Эти данные впоследствии могут быть использованы злоумышленниками для организации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. К тому же Win32.Rmnet.12 не брезгует покопаться и в cookies пользователя, в результате чего злоумышленники могут получить доступ к учетным записям жертвы на различных сайтах, требующих авторизации. Кроме того, модуль обладает функционалом, позволяющим осуществлять блокировку отдельных сайтов и перенаправление пользователя на принадлежащие вирусописателям интернет-ресурсы. Одна из модификаций Win32.Rmnet.12 также способна осуществлять веб-инжекты, благодаря чему вирус может похищать банковскую информацию.

(10:20) 18.04.2012
http://cybersecurity.ru/crypto/149076.html​

 

Размеры бот-сети из компьютеров Apple не уменьшаются

По данным аналитиков компании по состоянию на 19 апреля, ежедневно о своей работоспособности сообщали 650 тысяч зараженных компьютеров Mac, включенных в бот-сеть Flashback. Всего же за все время наблюдений компания зарегистрировала 817,8 тысячи уникальных компьютеров.

МОСКВА, 23 апр - РИА Новости. Размеры бот-сети Flashback, в которую входит более 600 тысяч зараженных одноименной троянской программой компьютеров Apple Mac, меняются незначительно и не переживают серьезного сокращения, вопреки сообщениям от ряда антивирусных компаний, появившимся на прошлой неделе, сообщила в понедельник пресс-служба российской антивирусной компании "Доктор Веб", впервые обнаружившей бот-сеть.

По данным аналитиков компании по состоянию на 19 апреля (более свежие данные еще не проанализированы), ежедневно о своей работоспособности сообщали 650 тысяч зараженных компьютеров Mac, включенных в бот-сеть Flashback. Всего же за все время наблюдений компания зарегистрировала 817,8 тысячи уникальных компьютеров. Сеть была обнаружена специалистами "Доктор Веб" в начале апреля и стала крупнейшей за последние несколько лет.

Вслед за этой компанией, собственный анализ сети представили компании Symantec, "Лаборатория Касперского" и ряд других антивирусных вендоров. В течение минувшей недели представители Symantec регулярно сообщали о планомерном снижении количества зараженных компьютеров в бот-сети. Сходной точки зрения придерживались и в "Лаборатории Касперского", представители которой сообщили в конце минувшей недели о том, что количество зараженных компьютеров в бот-сети Flashback упало до 30 тысяч. Однако в "Доктор Веб" настаивают на других цифрах.

"В последнее время в открытых источниках появляются сообщения об уменьшении численности инфицированных троянцем BackDoor.Flashback.39 "маков", но компания "Доктор Веб" располагает иными статистическими данными - количество инфицированных компьютеров по-прежнему составляет порядка 650 тысяч", - говорится в сообщении компании.

Причину такого расхождения с результатами наблюдений других компаний в "Доктор Веб" объясняют особенностями функционирования троянской программы. В частности, троянец BackDoor.Flashback.39 использует сложный алгоритм подбора доменных имен своих управляющих серверов (серверов, с которых троянец получает команды от злоумышленников): имена основной части доменов генерируются на основании встроенных в вредоносную программу конфигурационных данных, другая часть создается в зависимости от текущей даты. Троянец осуществляет последовательный опрос командных центров в соответствии с заложенными в него приоритетами.

Компании "Доктор Веб" удалось зарегистрировать домены поддельных командных серверов с такими именами, чтобы успешно заразившие компьютеры копии троянца Flashback, прежде всего, обращались к серверам антивирусной компании. Однако следом троянцы обращаются с соответствующим запросом к принадлежащему неизвестным лицам командному центру по адресу 74.207.249.7. Центр устанавливает связь с зараженными компьютерами и не закрывает соединение, что приводит к ситуации, в которой боты ждут ответа сервера и, как следствие, не опрашивают остальные командные центры, многие из которых были специально зарегистрированы специалистами по информационной безопасности из других компаний.

"Это и является причиной появления противоречивой статистики от разных антивирусных компаний - с одной стороны, Symantec и "Лаборатория Касперского" заявляли о значительном уменьшении числа ботов, с другой - данные компании "Доктор Веб" неизменно указывали на существенно большее число инфицированных компьютеров при очень слабой тенденции к их уменьшению", - поясняют в компании.

Компания Symantec в понедельник выступила с заявлением в котором частично признала правоту "Доктор Веб".

При этом в "Доктор Веб" затрудняются предположить, с чем может быть связан тот факт, что количество зараженных Mac не уменьшается, несмотря на то, что и сама Apple, и антивирусные компании выпустили ряд программных средств для лечения угрозы.

Остаются неизвестными и цели, для которых злоумышленники создали бот-сеть. Однако эксперты сообщают, что Flashback способен менять содержимое некоторых веб-страниц в браузере зараженного компьютера, а также отсылать данные на удаленный сервер и загружать новое вредоносное ПО. Эта комбинация функций, в частности, позволяет злоумышленникам похищать пароли от учетных записей в социальных сетях и системах банковского обслуживания.

Географически большая часть заражений приходится на США, Канаду, Великобританию и Австралию. Россия находится в этом списке на одном из последних мест.

Для облегчения поиска и удаления троянца Flashback компания "Доктор Веб" открыла специальный раздел на своем официальном сайте. Раздел называется Anti Flashback, через него пользователи могут выяснить, заражен их компьютер или нет, узнать о том, как работает троянец и скачать ПО для его удаления. Подобные проекты есть у "Лаборатории Касперского" и других антивирусных компаний.

23.04.2012
http://digit.ru/technology/20120423/391201426.html​