Ботнет Rmnet продолжает свою активность

Несмотря на многочисленные сообщения СМИ о масштабной операции Европола по прекращению деятельности крупного ботнета Rmnet, антивирускорпорация «Доктор Веб» продолжает отслеживать активность сети. Напомним, по сообщениям СМИ специалисты нескольких стран совместными усилиями смогли полностью заблокировать несколько крупных управляющих интернет-серверов Rmnet.

В настоящее время специалисты отслеживают активность нескольких подсетей ботнетов, для создания которых использовались различные модификации вируса Rmnet. К примеру, версия Win32.Rmnet.12 (появилась в 2011 году), представляет собой файловый вирус, состоящий из нескольких вредоносных модулей, имеет функцию саморазмножения. Вирус способен выполнять инструкции, поступающие с управляющего узла, интегрировать стороннее содержимое в открываемые в браузере страницы, а также похищать пароли от популярных FTP-серверов и cookies.

Версия Win32.Rmnet.16, которая появилась несколько позднее, отличается несколькими архитектурными особенностями. К примеру, в процессе выбора командного центра используется цифровая подпись. Из других возможностей специалисты отмечают возможность загрузки и активации произвольного файла, обновление вредоносных модулей, отправку на сервер снимка экрана, а также команду на повреждение операционной системы. Бэкдор также обладает функционалом для блокировки популярных антивирусов (закрытие соответствующих процессов). Как и предшественник, Win32.Rmnet.16 способен осуществлять запись в загрузочную область винчестера (раздел MBR), а также хранить свои компоненты в конце накопителя (данные шифруются).

Несмотря на сообщения об успешной операции, специалисты не зафиксировали значительного снижения активности опасных бот-сетей. В настоящее время «Доктор Веб» отслеживает активность 12 подсетей Rmnet, использующих специальные алгоритмы для генерации доменов серверов управления. Также существуют не менее двух подсетей Win32.Rmnet.12, которые не применяют автоматическую генерацию доменов.

Статистика активности показывает, что в результате масштабной операции были закрыты не все управляющие узлы. Не менее 500 тысяч зараженных устройств (различные модификации вредоносной программы) продолжают взаимодействовать с уцелевшими серверами.

 

[an error occurred while processing the directive]
  • салон красоты
  • косметический бренд
  • пресса
  • благотворительный фонд доверие
  • Сайт государственного бюджетного учебного заведения
  • сайт рекламного агентства
  • Сайт компания застройщик
  • интернет-магазин женских сумок
  • магазин товаров для здоровья
  • Лендинг одностраничник Косметический
  • Продуктовый интернет-магазин
[an error occurred while processing the directive]
0

Your Cart