1016940_10151586393723005_2051808238_n - копия.jpg
b1d44ea4698f5bc218b0429b4d5ae523 - копия.jpg

«Доктор Web» предупредила о существовании нового ботнета, созданного модифицированной версией вируса Win32.Rmnet.12.

Компания «Доктор Web» сообщила об обнаружении нового вируса Win32.Rmnet.16, построенного злоумышленниками на базе вредоносной программы Win32.Rmnet.12. Модифицированная версия использует цифровую подпись, которой подписывается IP-адрес управляющего сервера.

Файловый вирус Win32.Rmnet.16, состоящий из нескольких функциональных модулей, написан на языках С и Ассемблер. Попадая в компьютер жертвы, он встраивается в процессы браузера, сохраняет свой драйвер во временную папку и запускает его под видом системной службы Microsoft Windows Service. Затем вредоносная программа копирует тело вируса во временную директорию и папку автозапуска со случайным именем и расширением .exe.

«Загруженные бэкдором компоненты вируса и конфигурационные файлы сохраняются в зашифрованный файл с расширением .log и именем, сгенерированным на основе информации о компьютере. Этот файл размещается в папке %APPDATA%. Модуль, реализованный в библиотеке modules.dll, загружает данные из файла с расширением .log и настраивает их непосредственно в оперативной памяти компьютера, вследствие чего используемые вирусом компоненты на жестком диске ПК не расшифровываются», - сообщается в отчете компании «Доктор Web».

Также вредоносная программа обладает функционалом, позволяющим завершать процессы антивирусного ПО.

Напомним, что в апреле этого года антивирусная компания сообщила о существовании бэкдора Win32.Rmnet.12, при помощи которого злоумышленники создали бот-сеть, насчитывающую более миллиона инфицированных компьютеров.

Как и его предшественник, Win32.Rmnet.16 записывает данные в загрузочную область диска (MBR), а также сохраняет свои файлы в конце диска в зашифрованном виде.

Среди возможностей Win32.Rmnet.16 стоит отметить компонент Ftp Grabber v2.0, предназначенный для кражи паролей к популярным FTP-клиентам, собственный FTP-сервер и шпионский модуль.

Win32.Rmnet.16 инфицирует все обнаруженные на диске исполняемые файлы с расширением .ехе и динамические библиотеки с расширением .dll. Однако, в отличие от предшественника, не умеет копировать себя на съемный накопитель.

Согласно исследованию компании, на сегодняшний день вирус наиболее распространен в Великобритании, Австралии и США, где созданный при его помощи ботнет насчитывает 59%, 40% и 1,3% от всех инфицированных узлов соответственно.