You are hereГруппы / Безопасность / Великобритания и Австралия подверглись атакам Win32.Rmnet.16

Великобритания и Австралия подверглись атакам Win32.Rmnet.16


By yuliya - Posted on 15 мая 2012

Картинка: 
Доктор Веб,  вирус,  ботнет

«Доктор Web» предупредила о существовании нового ботнета, созданного модифицированной версией вируса Win32.Rmnet.12.

Компания «Доктор Web» сообщила об обнаружении нового вируса Win32.Rmnet.16, построенного злоумышленниками на базе вредоносной программы Win32.Rmnet.12. Модифицированная версия использует цифровую подпись, которой подписывается IP-адрес управляющего сервера.

Файловый вирус Win32.Rmnet.16, состоящий из нескольких функциональных модулей, написан на языках С и Ассемблер. Попадая в компьютер жертвы, он встраивается в процессы браузера, сохраняет свой драйвер во временную папку и запускает его под видом системной службы Microsoft Windows Service. Затем вредоносная программа копирует тело вируса во временную директорию и папку автозапуска со случайным именем и расширением .exe.

«Загруженные бэкдором компоненты вируса и конфигурационные файлы сохраняются в зашифрованный файл с расширением .log и именем, сгенерированным на основе информации о компьютере. Этот файл размещается в папке %APPDATA%. Модуль, реализованный в библиотеке modules.dll, загружает данные из файла с расширением .log и настраивает их непосредственно в оперативной памяти компьютера, вследствие чего используемые вирусом компоненты на жестком диске ПК не расшифровываются», - сообщается в отчете компании «Доктор Web».

Также вредоносная программа обладает функционалом, позволяющим завершать процессы антивирусного ПО.

Напомним, что в апреле этого года антивирусная компания сообщила о существовании бэкдора Win32.Rmnet.12, при помощи которого злоумышленники создали бот-сеть, насчитывающую более миллиона инфицированных компьютеров.

Как и его предшественник, Win32.Rmnet.16 записывает данные в загрузочную область диска (MBR), а также сохраняет свои файлы в конце диска в зашифрованном виде.

Среди возможностей Win32.Rmnet.16 стоит отметить компонент Ftp Grabber v2.0, предназначенный для кражи паролей к популярным FTP-клиентам, собственный FTP-сервер и шпионский модуль.

Win32.Rmnet.16 инфицирует все обнаруженные на диске исполняемые файлы с расширением .ехе и динамические библиотеки с расширением .dll. Однако, в отличие от предшественника, не умеет копировать себя на съемный накопитель.

Согласно исследованию компании, на сегодняшний день вирус наиболее распространен в Великобритании, Австралии и США, где созданный при его помощи ботнет насчитывает 59%, 40% и 1,3% от всех инфицированных узлов соответственно.

securitylab.ru

Отправить комментарий

  • Строки и параграфы переносятся автоматически.
  • Доступны HTML теги: <ul> <ol> <li> <dl> <dt> <dd> <b> <i> <p> <center> <br>

CAPTCHA
Вы, случаем, не робот?

Уведомления группы

Предложения групп RSS лента. Или подписаться на эти персонализированные, общесайтовые каналы:

Сейчас на сайте

Сейчас на сайте 0 пользователей и 72 гостя.

Последние комментарии