Эксперты обнаружили крупнейший ботнет в 2012 году

Компания «Доктор Веб» сегодня сообщила о широком распространении вируса Win32.Rmnet.12, c помощью которого вирусмейкеры создали ботнет, насчитывающий более 1 миллиона ботов. Вирус Win32.Rmnet.12 заражает ПК на базе Windows, реализуя функции бэкдора, а также осуществляя кражу паролей.

Win32.Rmnet.12 — сложный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению. Запустившись в операционной системе, Win32.Rmnet.12 проверяет, какой браузер установлен по умолчанию и встраивается в процессы браузера. Затем, сгенерировав имя собственного файла на основе серийного номера жесткого диска, вирус сохраняется в папку автозагрузки текущего пользователя и устанавливает для вредоносного файла атрибут «скрытый». В ту же папку сохраняется и конфиг-файл, в который записываются необходимые данные. Затем на основе заложенного в него алгоритма вирус определяет имя C&C сервера и пытается установить с ним соединение.

Одним из компонентов вируса является модуль бэкдора. Другой компонент предназначен для кражи паролей от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других. К тому же Win32.Rmnet.12 не брезгует покопаться и в cookies пользователя. Кроме того, модуль обладает функционалом, позволяющим осуществлять блокировку отдельных сайтов и перенаправление пользователя на принадлежащие вирусописателям ресурсы. Одна из модификаций Win32.Rmnet.12 также способна осуществлять веб-инжекты различных банков.

Первоначально количество ботов в сети Win32.Rmnet.12 было невелико и насчитывало несколько сотен тысяч ботов, однако это число постепенно увеличивалось. По данным на 15 апреля 2012 года, ботнет Win32.Rmnet.12 состоит из 1 400 520 зараженных узлов и продолжает уверенно расти. В основном, боты из азиатского региона и Африки — Индонезия, Бангладеш, Вьетнам, Пакистан, Египет, Нигерия, Иран, Россия, Казахстан.{jcomments on}