Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Назад к списку новостей

Размер ботнета Win32.Rmnet.12 перешагнул порог в три миллиона

29 июня 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о том, что численность бот-сети Win32.Rmnet.12, за которой специалисты компании внимательно следят с сентября 2011 года, в нынешнем месяце превысила три миллиона инфицированных узлов. Файловый вирус Win32.Rmnet.12 может представлять серьезную опасность для пользователей, поскольку он способен красть пароли от популярных FTP-клиентов и выполнять функции бэкдора.

В середине апреля 2012 года компания «Доктор Веб» уже сообщала о том, что бот-сеть, созданная злоумышленниками с использованием файлового вируса Win32.Rmnet.12, достигла по своей численности миллиона инфицированных компьютеров. С тех пор количество заражений непрерывно росло: уже к концу мая размер ботнета достиг отметки в 2,5 миллиона рабочих станций, о чем компания «Доктор Веб» упоминала в майском обзоре вирусной активности, а к концу июня численность сети преодолела отметку в 3,2 миллиона ботов. Рост бот-сети происходит достаточно интенсивно: ежедневно к контролируемым компанией «Доктор Веб» управляющим серверам Win32.Rmnet.12 обращается порядка 5–8 тысяч вновь инфицированных машин, а в отдельные дни число регистраций новых ботов достигало 15 тысяч. Представленный ниже график наглядно демонстрирует динамику изменения численности ботнета в текущем месяце.

img

Напомним, что вирус обладает способностью к самокопированию, заражая исполняемые файлы, сменные носители информации и распространяясь с помощью встраиваемых в веб-страницы сценариев, написанных на языке VBScript. Вирус состоит из нескольких модулей, его основной вредоносный функционал позволяет встраивать в просматриваемые веб-страницы посторонний контент (веб-инжекты), перенаправлять пользователя на указанные злоумышленниками сайты, а также передавать на удаленные узлы содержимое заполняемых жертвой форм. Пример встраиваемых вирусом в веб-страницы скриптов показан на представленной ниже иллюстрации.

screen

Следующее изображение демонстрирует список URL интернет-ресурсов, доступ к которым блокируется вирусом, а также перечень поисковых запросов, с использованием которых пользователь перенаправляется на принадлежащий злоумышленникам веб-сайт.

screen

Также вирус «умеет» красть пароли от популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla и Bullet Proof FTP. Помимо этого, вредоносная программа запускает на инфицированной машине локальный FTP-сервер. Вирус поддерживает так называемую технологию обратного соединения (backconnect), используемую для подключения к внутренним сервисам. Благодаря этому становится возможным, например, установить связь с запущенным на инфицированном ПК FTP-сервером, даже если компьютер жертвы не имеет выделенного внешнего IP-адреса. Еще один компонент Win32.Rmnet.12 способен выполнять поступающие от удаленных центров команды и передавать на сайты злоумышленников похищенную с инфицированного компьютера информацию.

География распространения троянца за минувшие месяцы не претерпела серьезных изменений: наибольшее количество инфицированных компьютеров приходится на долю Индонезии (22,6%) на втором месте находится Бангладеш (15,8%), далее следуют Вьетнам (13,2%), Индия (7,9%), Пакистан (4,9%) и Египет (3,5%). На долю России приходится 2,8% от всего объема бот-сети, что в количественном выражении значительно больше по сравнению с показателями месячной давности. Компания «Доктор Веб» продолжает внимательно следить за поведением ботнета.

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии