В настоящее время специалисты отслеживают активность нескольких подсетей ботнетов, для создания которых использовались различные модификации вируса Rmnet. К примеру, версия Win32.Rmnet.12 (появилась в 2011 году), представляет собой файловый вирус, состоящий из нескольких вредоносных модулей, имеет функцию саморазмножения. Вирус способен выполнять инструкции, поступающие с управляющего узла, интегрировать стороннее содержимое в открываемые в браузере страницы, а также похищать пароли от популярных FTP-серверов и cookies.
Версия Win32.Rmnet.16, которая появилась несколько позднее, отличается несколькими архитектурными особенностями. К примеру, в процессе выбора командного центра используется цифровая подпись. Из других возможностей специалисты отмечают возможность загрузки и активации произвольного файла, обновление вредоносных модулей, отправку на сервер снимка экрана, а также команду на повреждение операционной системы. Бэкдор также обладает функционалом для блокировки популярных антивирусов (закрытие соответствующих процессов). Как и предшественник, Win32.Rmnet.16 способен осуществлять запись в загрузочную область винчестера (раздел MBR), а также хранить свои компоненты в конце накопителя (данные шифруются).
Несмотря на сообщения об успешной операции, специалисты не зафиксировали значительного снижения активности опасных бот-сетей. В настоящее время «Доктор Веб» отслеживает активность 12 подсетей Rmnet, использующих специальные алгоритмы для генерации доменов серверов управления. Также существуют не менее двух подсетей Win32.Rmnet.12, которые не применяют автоматическую генерацию доменов.
Статистика активности показывает, что в результате масштабной операции были закрыты не все управляющие узлы. Не менее 500 тысяч зараженных устройств (различные модификации вредоносной программы) продолжают взаимодействовать с уцелевшими серверами.
