Новости|20 Апрель 2012 2:17

Миллион Windows-машин оказались заражены вирусом

У компании «Доктор Веб» вновь неприятные новости для владельцев ПК: специалисты антивирусной корпорации обнаружили широко распространенный файловый вирус, получивший название Win32.Rmnet.12. Используя этот зловред, по сути представляющий собой сложную многокомпонентную систему, злоумышленники организовали ботсеть из более чем миллиона зараженных компьютеров на Windows.

«Доктор Веб» лого
Эксперты рассказали, Win32.Rmnet.12 инфицирует ПК, задействуя функции бэкдора и осуществляя кражу паролей от наиболее востребованных FTP-клиентов, которые в дальнейшем могли использоваться для заражения сайтов и создания сетевых атак. Более того, обнаруженный вирус способен уничтожить операционную платформу, обработав соответсвующую удаленную команду от киберпреступников. Особенность зловреда в том, что он проникает на компьютер разными способами: через зараженные исполняемые файлы, через инфицированные внешние флеш-накопители, при помощи некоторых скриптов, интегрированных в документы html. Последнее — следствие уязвимостей в веб-обозревателях.

Ботнет, построенный из зараженных вирусом машин, впервые дал о себе знать еще прошлой осенью, тогда образец кода вируса попал в лабораторию «Доктор Веб». Вскоре после этого специалистами были расшифрованы хранящиеся в недрах Win32.Rmnet.12 данные об управляющих серверах. Спустя еще некоторое время был проанализирован протокол обмена информацией между управляющими центрами и ботнетом, что позволило установить над контроль над поведением ботов в сети. В конце февраля «Доктор Веб» взял под контроль вторую подсеть вируса.

Изначально количество составляющих ботсистему Win32.Rmnet.12 зараженных компьютеров было сравнительно невелико, ограничиваясь несколькими сотнями тысяч ботов, но постепенно их число увеличивалось. На 15 апреля текущего года данная ботсеть состоит уже из 1 400520 ПК и продолжает расти далее. Наибольшее количество инфицированных Win32.Rmnet.12 устройств (320 014) приходится на Индонезию, Россия находится на шестом месте с численностью 43 153 пострадавших компьютеров. Наименьшее число машин, по одной, — в Албании, Таджикистане и Дании.

Следует отметить, поскольку компания «Доктор Веб» получила полный контроль над вирусной сетью Win32.Rmnet.12, злоумышленники больше не имеют к ней доступа и потому не могут нанести вред зараженным компьютерам.