В апреле 2012 лета фирма «Доктор Веб» — отечественный разработчик денег информационной безопасности — о том, точно бот-сеть, возведенная злодеями на базе файлового вируса Win32.Rmnet.12, превысила по собственной количества миллион инфицированных узлов. В крайнее момент специалистами «Доктор Веб» было отмечено распространение новенькой трансформации вируса, получившей название Win32.Rmnet.16. основополагающее различие заданной версии вредной программы от ее предшественницы заключается в применении цифровой подписи, коей подписывается айпишник управляющего сервера, а уж уж уж тоже вирусописатели обновили главные многофункциональные модули приложения. усмиряющее численность случаев инфецирования вирусом Win32.Rmnet.16 приходится на долю англии настолько ровно Австралии.
Файловый вирус Win32.Rmnet.16 напечатан на языках С настолько ровно Ассемблер настолько ровно состоит из нескольких активных модулей. Инжектор, внедряющий вирус в операционную систему, орудует в точности настолько же, ровно настолько ровно близкий ингридиент вируса Win32.Rmnet.12: имплантируется в процессы браузера, предохраняет во временную папку личный драйвер настолько ровно запускает его в качестве системной службы Micorsoft Windows Service, следом копирует туловище вируса во временную директорию настолько ровно папку автозапуска со случайным именованием настолько ровно расширением .exe.
Функциональные способности модуля бэкдора в цельном схожи такому же модулю, входящему в состав Win32.Rmnet.12. этот ингридиент в силах убеждать поступающие от удаленного центра директивы, в частности, команды на скачивание настолько ровно пуск произвольного файла, обновление вируса, произведение настолько ровно отправку злодеям снимка экрана настолько ровно в фолиант числе команду ликвидирования операционной системы. впрочем имеются в нем настолько ровно немаловажные отличия: Win32.Rmnet.16 пользуется цифровую подпись, коей подписывается айпишник управляющего сервера, а уж уж уж адреса самих командных центров ныне перестать делать зашиты в ресурсах вредного приложения, а уж уж уж генерируются по особому алгоритму. помимо того, модуль бэкдора владеет функционалом, позволяющим «убивать» процессы большинства более общераспространенных антивирусных программ, точно само по для себя появляется добавочным фактором, свидетельствующим об угрозе заданной вредной программы. Загруженные бэкдором ингридиенты вируса настолько ровно конфигурационные файлы сберегаются в зашифрованный файл с расширением .log настолько ровно именем, сгенерированным на базе инфы о компьютере. этот файл размещается в папке %APPDATA%. Модуль, реализованный в библиотеке modules.dll, загружает заданные из файла с расширением .log настолько ровно настраивает них конкретно в оперативной памяти компьютера, вследствие чего применяемые вирусом ингридиенты на жестком диске ПК перестать делать расшифровываются.
Как настолько ровно предыдущая версия вируса, Win32.Rmnet.16 умеет делать запись в загрузочную ответвление диска (MBR), а уж уж уж а уж уж тоже сберегать свои файлы в конце диска в зашифрованном виде. в последствии перезагрузки операционной системы управление передается инфицированной загрузочной записи, которая читает настолько ровно расшифровывает в памяти вредные модули, в последствии чего запускает их. этот активный ингридиент вируса приобрел личное наименование: MBR.Rmnet.1. должно отметить, точно антивирусные программы Dr.Web дозволяют возобновлять загрузочную запись, измененную Win32.Rmnet.
Среди прочих модулей, загружаемых Win32.Rmnet.16 с удаленных командных центров, должно выделить ингридиент Ftp Grabber v2.0, предназначенный для кражи паролей от известных FTP-клиентов, личный FTP-сервер, разведывательный модуль настолько ровно чуточку прочих активных компонентов.
Инфектор в новенькой версии вируса полиморфный, при конкретно в этом вирусный модуль инфектора загружается с удаленного интернет-сайта злоумышленников. Вирус инфицирует шабаш обнаруженные на дисках исполняемые файлы с расширением .exe настолько ровно динамические библиотеки с расширением .dll, в книжка числе настолько ровно системные, но, в различие от Win32.Rmnet.12, перестать делать умеет подражать себя на съемные флеш-накопители.
Специалисты фирмы «Доктор Веб» заботливо выслеживают поведение одной из бот-сетей Win32.Rmnet.16. По этим на 11 мая 2012 года, этот ботнет насчитывает 55 310 инфицированных узлов, из коих предпочтительно пятидесяти процентов (55,9%) склонны на территории Великобритании. На втором месте, с показателем 40% от общей количества вирусной сети, должно Австралия, почтенное третье местность (1,3%) разделяют USA настолько ровно Франция, гораздо 1% инфицированных компов располагается на территории Австрии, Ирана, Индии настолько ровно Германии. максимальное численность случаев инфецирования Win32.Rmnet.16 приходится на долю Лондона (5747 инфицированных ПК, либо же 10,4%), второстепенный по количества выявленных роботов крупный город — Сидней (3120 компьютеров, либо же 5,6%), дальше следуют австралийские городка Мельбурн (2670 случаев заражения, либо же 4,8%), Брисбен (2323 ПК, либо же 4,2%), Перт (1481 ПК, либо же 2,7%) настолько ровно Аделаида (1176 ПК, либо же 2,1%). Порядка 1,5% инфицированных машин расположено в англоязычных городках Бирмингеме настолько ровно Манчестере. Распределение бот-сети Win32.Rmnet.16 по странам показано на представленной далее иллюстрации.
Распространение бот-сети Win32.Rmnet.16 по странам мира
На территории нашей родины случаи инфецирования вирусом Win32.Rmnet.16 досель опять носят отдельный характер, впрочем со периодом обстоятельства возможно измениться. эксперты фирмы «Доктор Веб» продолжают заботливо выслеживать за этим ботнетом.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web