Компания «Доктор Веб» продолжает захватывать ботнеты путём внедрения фальшивых C&C-серверов (sinkhole). Очередной жертвой их активности стала бот-сеть из более миллиона компьютеров, инфицированных файловым вирусом Win32.Rmnet.12.
В пресс-релизе сообщается, что «Win32.Rmnet.12 заражает ПК на базе Microsoft Windows, реализуя функции бэкдора, а также осуществляя кражу паролей (от популярных FTP-клиентов), которые могут быть использованы для организации сетевых атак или заражения сайтов».
14 февраля 2012 года аналитики компании «Доктор Веб» применили известный метод sinkhole и зарегистрировали домены управляющих серверов одной из сетей Win32.Rmnet.12, что позволило установить полный и всеобъемлющий контроль над этим ботнетом. В конце февраля аналогичным образом была захвачена вторая подсеть Win32.Rmnet.12.
Первоначально количество составляющих сеть Win32.Rmnet.12 инфицированных машин было относительно невелико и насчитывало несколько сотен тысяч ботов, однако это число постепенно увеличивалось. По данным на 15 апреля 2012 года, ботнет Win32.Rmnet.12 состоит из 1 400 520 зараженных узлов и продолжает уверенно расти. Динамика изменения численности сети показана на графике.
Больше всего заражённых машин находится в Индонезии, Бангладеше и Вьетнаме. На долю России приходится 43 153 инфицированных компьютера. Есть пострадавшие из Казахстана (19 773), Беларуси (14 196 ботов) и Украины (12 481).
Впервые информация о Win32.Rmnet.12 появилась в сентябре 2011 года. Зловред распространяется через флэш-накопители, заражённые исполняемые файлы, а также при помощи специальных скриптов в html-документах.
Одним из компонентов вируса является модуль бэкдора. После запуска он пытается определить скорость соединения компьютера с интернетом, для чего с интервалом в 70 секунд отправляет запросы на сайты google.com, bing.com и yahoo.com, анализируя отклики. Затем Win32.Rmnet.12 запускает на инфицированной машине FTP-сервер и устанавливает соединение с командным центром, передавая ему сведения о зараженном компьютере. Бэкдор способен обрабатывать поступающие от удалённого центра команды. Другой функциональный компонент вируса предназначен для кражи паролей от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других. Кроме того, модуль обладает функционалом, позволяющим осуществлять блокировку отдельных сайтов и перенаправление пользователя на принадлежащие вирусописателям интернет-ресурсы. Одна из модификаций Win32.Rmnet.12 также способна осуществлять веб-инжекты, благодаря чему вирус может похищать банковскую информацию.
