GIGPORT.RU ГЛОБАЛЬНЫЙ ИННОВАЦИОННЫЙ ГИПЕРПОРТАЛ
  ГЛАВНАЯ НОВОСТИ АФИША ПРОЕКТЫ ИННОВАЦИИ ТУРИЗМ РАЗВЛЕЧЕНИЯ  
       
 
       
Электроника   Бытовая техника   Спорт и отдых   Софт и игры   Видео и музыка на DVD и Blu-ray   Музыка   Антиквариат и винтаж  

2

vkontakte.ru mail.ru facebook.com twitter.com ok.ru plus.google.com  information rss
       
ОБЩЕСТВО ЭКОНОМИКА И БИЗНЕС ПРОИСШЕСТВИЯ НАУКА И HI-TECH КОМПЬЮТЕРЫ И СОФТ АВТО-МОТО КОСМОС НАНОТЕХНОЛОГИИ МЕДИЦИНА КУЛЬТУРА СПОРТ РАЗНОЕ
 
 
 
 
БОТ-СЕТИ RMNET АТАКУЮТ ЕВРОПУ  

БОТ-СЕТИ RMNET АТАКУЮТ ЕВРОПУ




25.05.2013 Интернет, безопасность, компьютер, вирус, бот-сеть, кража пароля, антивирус




Специалисты антивирусных средств защиты информации Российской компании «Доктор Веб» обнаружили в бот-сети Rmnet два новых вредоносных модуля. Один из них позволяет злоумышленникам отключать антивирусные программы на заражённых компьютерах.
   
  Компания «Доктор Веб» уже сообщала о широком распространении файловых вирусов Win32.Rmnet.12 и Win32.Rmnet.16, способных организовывать бот-сети. Вредоносные программы семейства Win32.Rmnet представляют собой многокомпонентные файловые вирусы, обладающие возможностью самостоятельного распространения. Вирус состоит из нескольких модулей, его основной вредоносный функционал позволяет встраивать в просматриваемые веб-страницы посторонний контент, перенаправлять пользователя на указанные злоумышленниками сайты и передавать на удалённые узлы содержимое заполняемых жертвой форм. Кроме того, вирусы семейства Rmnet способны красть пароли от популярных FTP-клиентов — Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla и Bullet Proof FTP.

Специалистам «Доктор Веб» удалось перехватить ещё одну подсеть Win32.Rmnet с использованием известного метода sinkhole. В этой подсети был установлен факт распространения двух новых вредоносных модулей, получивших общее обозначение Trojan.Rmnet.19. Один из них предназначен для детектирования на инфицированном компьютере виртуальных машин, второй представляет гораздо больший интерес. Эмулируя действия пользователя (нажатие на соответствующие значки мышью), компонент отключает на инфицированной машине антивирусы Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, AVG и Bitdefender.

Если на компьютере используется антивирусное ПО Dr.Web, пользователю ничто не угрожает: для выгрузки компонентов антивируса требуется ввести капчу, а вот с этой задачей Trojan.Rmnet.19 справиться не в состоянии.
   
 
БОТ-СЕТИ RMNET АТАКУЮТ ЕВРОПУ   Всего в данной подсети вирус загружает с управляющего сервера на инфицированный компьютер семь вредоносных модулей:
- новый модуль, позволяющий отключать антивирусные программы;
- модуль для кражи файлов cookies;
- локальный FTP-сервер;
- модуль для выполнения веб-инжектов;
- модуль для кражи паролей от FTP-клиентов;
- новый модуль, позволяющий детектировать наличие виртуальных машин;
- модуль для организации удалённого доступа к инфицированной системе.

Помимо этого, файловые вирусы семейства Rmnet содержат следующие базовые компоненты:
- компонент для загрузки других модулей в память;
- модуль бэкдора;
- модуль для удаления антивирусных программ.
   
  По данным на 22 мая 2013 г., к исследуемому антивирусной лабораторией «Доктор Веб» управляющему серверу обратилось более 18 тыс. ботов. Из собранной статистики можно сделать вывод — в качестве основного направления вирусной атаки злоумышленники выбрали Великобританию и Ирландию: на данной территории зафиксировано 15 253 случая заражения (84,5%), второе место по числу инфицированных систем (1 434 случая, или 7,9%) удерживает Франция.

Файловый вирус Win32.Rmnet.12 позволил злоумышленникам создать бот-сеть, насчитывающую более миллиона инфицированных компьютеров. Вирус Win32.Rmnet.12 заражает ПК на базе Microsoft Windows, реализуя функции бэкдора, а также осуществляя кражу паролей (от популярных FTP-клиентов), которые могут быть использованы для организации сетевых атак или заражения сайтов. Обрабатывая поступающие от удалённого центра злоумышленников указания, Win32.Rmnet.12 также может дать команду на уничтожение операционной системы.

Впервые вирус Win32.Rmnet.12 был обнаружен в сентябре 2011 г. Вирус проникает на компьютеры разным путём: через инфицированные флеш-накопители, заражённые исполняемые файлы, а также при помощи специальных скриптов, интегрированных в html-документы — они сохраняют на диск компьютера вирус при открытии вредоносной веб-страницы в окне браузера.

Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению (умеет копировать сам себя и бесконтрольно распространяться без участия пользователя). Запустившись в операционной системе, Win32.Rmnet.12 проверяет, какой браузер установлен по умолчанию (если таковой не обнаружен, вирус выбирает в качестве цели Microsoft Internet Explorer) и встраивается в процессы браузера. Затем, сгенерировав имя собственного файла на основе серийного номера жёсткого диска, вирус сохраняется в папку автозагрузки текущего пользователя и устанавливает для вредоносного файла атрибут скрытый. В ту же папку сохраняется и конфигурационный файл, в который записываются данные, необходимые для работы вредоносной программы. Затем на основе заложенного в него алгоритма вирус определяет имя управляющего сервера и пытается установить с ним соединение.

Одним из компонентов вируса является модуль бэкдора. После запуска он пытается определить скорость соединения компьютера с Интернетом, для чего с интервалом в 70 секунд отправляет запросы на сайты google.com, bing.com и yahoo.com, анализируя отклики. Затем Win32.Rmnet.12 запускает на инфицированной машине FTP-сервер и устанавливает соединение с командным центром, передавая ему сведения о заражённом компьютере. Бэкдор способен обрабатывать поступающие от удалённого центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление самого себя, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы.

Другой функциональный компонент вируса предназначен для кражи паролей от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других. Эти данные впоследствии могут быть использованы злоумышленниками для организации сетевых атак или для размещения на удалённых серверах различных вредоносных объектов. К тому же Win32.Rmnet.12 не брезгует покопаться и в cookies пользователя, в результате чего злоумышленники могут получить доступ к учётным записям жертвы на различных сайтах, требующих авторизации. Кроме того, модуль обладает функциональностью, которая позволяет осуществлять блокировку отдельных сайтов и перенаправлять пользователя на принадлежащие вирусописателям интернет-ресурсы. Одна из модификаций Win32.Rmnet.12 также способна осуществлять веб-инжекты, благодаря чему вирус может похищать банковскую информацию.
   
 
БОТ-СЕТИ RMNET АТАКУЮТ ЕВРОПУ   Распространение вируса происходит несколькими путями: во-первых, с использованием уязвимостей браузеров, позволяющих сохранять и запускать исполняемые файлы при открытии веб-страниц. Вирус выполняет поиск всех хранящихся на дисках файлов html и добавляет в них код на языке VBScript.

Помимо этого, Win32.Rmnet.12 инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и умеет копировать себя на съёмные флеш-накопители, сохраняя в корневую папку файл автозапуска и ярлык, ссылающийся на вредоносное приложение, которое в свою очередь запускает вирус.
   
  Ботнет, состоящий из заражённых Win32.Rmnet.12 компьютеров, впервые был обнаружен компанией «Доктор Веб» в сентябре 2011 г., тогда образец самого вируса впервые попал в антивирусную лабораторию. Вскоре были расшифрованы хранящиеся в ресурсах Win32.Rmnet.12 имена управляющих серверов. Специалисты также проанализировали протокол обмена данными между ботнетом и управляющими центрами, что позволило не только определять количество ботов в сети, но и контролировать их поведение. 14 февраля 2012 г. аналитиками компании был применён метод sinkhole, который впоследствии использовался для изучения сети троянцев BackDoor.Flashback.39 — были зарегистрированы домены управляющих серверов одной из сетей Win32.Rmnet.12, что позволило установить полный контроль над этим ботнетом. В конце февраля аналогичным образом была захвачена вторая подсеть Win32.Rmnet.12.

Первоначально количество составляющих сеть Win32.Rmnet.12 инфицированных машин было относительно невелико и насчитывало несколько сотен тысяч ботов, однако это число постепенно увеличивалось. По данным на 15 апреля 2012 г., ботнет Win32.Rmnet.12 состоит из 1 400 520 заражённых узлов и продолжает уверенно расти.

Наибольшее количество заражённых ПК приходится на долю Индонезии — 320 014 инфицированных машины, или 27,12%. На втором месте находится государство Бангладеш с числом заражений 166 172, что составляет 14,08% от размеров всего ботнета. На третьем месте — Вьетнам (154 415 ботов — 13,08%), далее следуют Индия (83 254 бота — 7,05%), Пакистан (46 802 бота — 3,9%), Россия (43 153 инфицированных машины — 3,6%), Египет (33 261 бот — 2,8%), Нигерия (27877 ботов - 2,3%), Непал (27705 ботов - 2,3%) и Иран (23742 бота - 2,0%). Достаточно велико количество пострадавших от данного вируса на территории Казахстана (19 773 случая заражения — 1,67%) и Беларусии (14 196 ботов — 1,2%). В Украине зафиксировано 12 481 случай инфицирования Win32.Rmnet.12, что составляет 1,05% от размеров всей бот-сети.
   
 
БОТ-СЕТИ RMNET АТАКУЮТ ЕВРОПУ   Относительно небольшое количество заражённых компьютеров выявлено в США — 4 327 единиц, что соответствует 0,36%. Ну а меньше всего случаев приходится на долю Канады (250 компьютеров — 0,02% от объёмов сети) и Австралии (всего лишь 46 компьютеров). По одному инфицированному ПК было выявлено в Албании, Дании и Таджикистане.

Следует отметить, что компания «Доктор полностью контролирует вирусную сеть Win32.Rmnet.12, благодаря чему злоумышленники больше не могут получить к ней доступ и нанести вред инфицированным компьютерам.

Источник: GIGPORT.RU
 
Нравится
 
 
 
 
 
 
 
GIGPORT.RU ГЛОБАЛЬНЫЙ ИННОВАЦИОННЫЙ ГИПЕРПОРТАЛ
ГИПЕРПОРТАЛ
ИНТЕРНЕТ-ЖУРНАЛ
ИНТЕРЕСНОЕ В МИРЕ
ОНЛАЙН ГИПЕРМАРКЕТ
ДОСКА ОБЪЯВЛЕНИЙ
РАЗВЛЕЧЕНИЯ
ГИПЕРПОРТАЛ
 
     
 
Книги   Детям и мамам
 
     
 
Одежда, обувь, аксессуары   Красота и здоровье
 
     
 
 
     
   
     
   
     
       
  COPYRIGHT
 
  Рейтинг@Mail.ru   Яндекс.Метрика   Проверка тиц pr