Ботнет Rmnet продолжает свою активность

  • admin
  • 12-06-2015, 11:45
  • 306
 Ботнет Rmnet
Несмотря на сообщения новостных агентств, что специалисты Европола провели масштабную операцию, направленную на прекращение функционирования ботнета Rmnet, компания «Доктор Веб» продолжает отслеживать активность вредоносной сети. Напомним, ранее СМИ сообщили, что совместными усилиями полиции разных стран удалось заблокировать работу нескольких крупных серверов Rmnet. «Доктор Веб» постоянно отслеживает несколько крупных подсетей, созданных при помощи разных модификаций вируса Rmnet. Одна из версий - Win32.Rmnet.12 – изучена специалистам еще в 2011 году. Утилита представляет собой типичный многокомпонентный файловый вирус, который состоит из нескольких модулей различного назначения. Вредоносная программа способна выполнять внешние команды, интегрировать стороннее содержимое в интернет-страницы, открываемые пользователем в браузере, а также похищать cookies и пароли от популярных FTP-клиентов, включая CuteFTP, Bullet Proof FTP, FlashFXP, WS FTP и Ghisler. Более поздняя модификация - Win32.Rmnet.16 – имеет ряд архитектурных отличий. К примеру, при выборе сервера управления приложение использует цифровую подпись. Вредоносная утилита также способна загружать и активировать произвольные файлы, обновлять свои модули, отправлять на сервер снимок экрана, а также приводить ОС в неработоспособное состояние. Модуль бэкдора также имеет возможность завершать процессы популярных антивирусных приложений. Как и предыдущая версия, утилита Win32.Rmnet.16 способна осуществлять запись в MBR, а также записывать вредоносные файлы в конце винчестера (данные при этом шифруются). Представители «Доктор Веб» отметили, что, несмотря на многочисленные сообщения о блокировке вредоносных серверов, активность бот-сети не снижается. Сейчас специалистам известно не менее 12 полноценных подсетей Rmnet, использующих специальный алгоритм генерации доменов для работы управляющих серверов. Также отслеживается активность двух подсетей вируса Win32.Rmnet.12, которые не способны автоматически генерировать домены. В подсети Win32.Rmnet.16 зафиксировано значительное снижение активности, однако серьезных «провалов» после блокировки серверов управления нет. Активность Win32.Rmnet.12 практически не изменилась – среднесуточно фиксируется 250-270 тысяч зараженных узлов. Схожая ситуация наблюдается при изучении активности вредоносных модулей, которые имеют общее название Trojan.Rmnet.19.


Рекомендуемые новости

  • Специалисты Центробанка РФ предвещают
    Специалисты Центробанка РФ предвещают "беду"
    Политика
     
  • В индийском городе Ченнаи составили гигантский флаг из людей
    В индийском городе Ченнаи составили гигантский флаг из людей
    Общество и культура / Мировые события
     
  • В ДТП попадали 11 беспилотных автомобилей Google
    В ДТП попадали 11 беспилотных автомобилей Google
    Авто
     
  • Гаджеты в жизни современного ребёнка: как снизить их негативное воздействие
    Гаджеты в жизни современного ребёнка: как снизить их негативное воздействие
    Hi-Tech
     
  • ONYX BOOX T76ML Cleopatra. Топовая «читалка» из «египетской» серии
    ONYX BOOX T76ML Cleopatra. Топовая «читалка» из «египетской» серии
    Hi-Tech
     
  • 3G, 4G, 5G - чего нам ждать от мобильного интернета
    3G, 4G, 5G - чего нам ждать от мобильного интернета
    Hi-Tech