«Доктор Веб» предупреждает: вирус Rmnet.12 создал бот-сеть из миллиона компьютеров на базе Windows

18 апреля 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о широком распространении файлового вируса Win32.Rmnet.12, c помощью которого злоумышленники создали бот-сеть, насчитывающую более миллиона инфицированных компьютеров. Вирус Win32.Rmnet.12 заражает ПК на базе Microsoft Windows, реализуя функции бэкдора, а также осуществляя кражу паролей (от популярных FTP-клиентов), которые могут быть использованы для организации сетевых атак или заражения сайтов. Обрабатывая поступающие от удаленного центра злоумышленников указания, Win32.Rmnet.12 также может дать команду на уничтожение операционной системы.

Впервые информация о вирусе Win32.Rmnet.12 была добавлена в базы Dr.Web еще в сентябре 2011 года. Начиная с этого момента специалисты «Доктор Веб» внимательно следили за развитием этой угрозы. Вирус проникает на компьютеры разным путем: через инфицированные флеш-накопители, зараженные исполняемые файлы, а также при помощи специальных скриптов, интегрированных в html-документы — они сохраняют на диск компьютера вирус при открытии вредоносной веб-страницы в окне браузера. Сигнатура подобных сценариев, написанных на языке VBScript, была добавлена в базы Dr.Web под именем VBS.Rmnet.

Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению (умеет копировать сам себя и бесконтрольно распространяться без участия пользователя). Запустившись в операционной системе, Win32.Rmnet.12 проверяет, какой браузер установлен по умолчанию (если таковой не обнаружен, вирус выбирает в качестве цели Microsoft Internet Explorer) и встраивается в процессы браузера. Затем, сгенерировав имя собственного файла на основе серийного номера жесткого диска, вирус сохраняется в папку автозагрузки текущего пользователя и устанавливает для вредоносного файла атрибут «скрытый». В ту же папку сохраняется и конфигурационный файл, в который записываются необходимые для работы вредоносной программы данные. Затем на основе заложенного в него алгоритма вирус определяет имя управляющего сервера и пытается установить с ним соединение.

Одним из компонентов вируса является модуль бэкдора. После запуска он пытается определить скорость соединения компьютера с Интернетом, для чего с интервалом в 70 секунд отправляет запросы на сайты google.com, bing.com и yahoo.com, анализируя отклики. Затем Win32.Rmnet.12 запускает на инфицированной машине FTP-сервер и устанавливает соединение с командным центром, передавая ему сведения о зараженном компьютере. Бэкдор способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление самого себя, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы.

Другой функциональный компонент вируса предназначен для кражи паролей от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других. Эти данные впоследствии могут быть использованы злоумышленниками для организации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. К тому же Win32.Rmnet.12 не брезгует покопаться и в cookies пользователя, в результате чего злоумышленники могут получить доступ к учетным записям жертвы на различных сайтах, требующих авторизации. Кроме того, модуль обладает функционалом, позволяющим осуществлять блокировку отдельных сайтов и перенаправление пользователя на принадлежащие вирусописателям интернет-ресурсы. Одна из модификаций Win32.Rmnet.12 также способна осуществлять веб-инжекты, благодаря чему вирус может похищать банковскую информацию.

Распространение вируса происходит несколькими путями: во-первых, с использованием уязвимостей браузеров, позволяющих сохранять и запускать исполняемые файлы при открытии веб-страниц. Вирус выполняет поиск всех хранящихся на дисках файлов html и добавляет в них код на языке VBScript. Помимо этого, Win32.Rmnet.12 инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и умеет копировать себя на съемные флеш-накопители, сохраняя в корневую папку файл автозапуска и ярлык, ссылающийся на вредоносное приложение, которое в свою очередь запускает вирус.

Ботнет, состоящий из зараженных Win32.Rmnet.12 компьютеров, был впервые обнаружен компанией «Доктор Веб» еще в сентябре 2011 года, когда образец самого вируса впервые попал в антивирусную лабораторию. Вскоре были расшифрованы хранящиеся в ресурсах Win32.Rmnet.12 имена управляющих серверов. Спустя некоторое время специалисты проанализировали также протокол обмена данными между ботнетом и управляющими центрами, что позволило не только определять количество ботов в сети, но и контролировать их поведение. 14 февраля 2012 года аналитиками компании «Доктор Веб» был применен известный метод sinkhole, который впоследствии успешно использовался для изучения сети троянцев BackDoor.Flashback.39, а именно были зарегистрированы домены управляющих серверов одной из сетей Win32.Rmnet.12, что позволило установить полный и всеобъемлющий контроль над этим ботнетом. В конце февраля аналогичным образом была захвачена вторая подсеть Win32.Rmnet.12.

Первоначально количество составляющих сеть Win32.Rmnet.12 инфицированных машин было относительно невелико и насчитывало несколько сотен тысяч ботов, однако это число постепенно увеличивалось. По данным на 15 апреля 2012 года, ботнет Win32.Rmnet.12 состоит из 1 400 520 зараженных узлов и продолжает уверенно расти. Динамика изменения численности сети показана на представленном ниже графике.

Наибольшее количество зараженных ПК приходится на долю Индонезии — 320 014 инфицированных машины, или 27,12%. На втором месте находится государство Бангладеш с числом заражений 166 172, что составляет 14,08% от размеров всего ботнета. На третьем месте — Вьетнам (154 415 ботов, или 13,08%), далее следуют Индия (83 254 бота, или 7,05%), Пакистан (46 802 бота, или 3,9%), Россия (43 153 инфицированных машины, или 3,6%), Египет (33 261 бот, или 2,8%), Нигерия (27 877 ботов, или 2,3%), Непал (27 705 ботов, или 2,3%) и Иран (23 742 бота, или 2,0%). Достаточно велико количество пострадавших от данного вируса на территории Казахстана (19 773 случая заражения, или 1,67%) и Беларуси (14 196 ботов, или 1,2%). В Украине зафиксировано 12 481 случай инфицирования Win32.Rmnet.12, что составляет 1,05% от размеров всей бот-сети. Относительно небольшое количество зараженных компьютеров выявлено в США — 4 327 единиц, что соответствует 0,36%. Ну а меньше всего случаев приходится на долю Канады (250 компьютеров, или 0,02% от объемов сети) и Австралии (всего лишь 46 компьютеров). По одному инфицированному ПК было выявлено в Албании, Дании и Таджикистане. Географическое распределение ботнета Win32.Rmnet.12 продемонстрировано на предложенной ниже иллюстрации.

Следует отметить, что компания «Доктор Веб» полностью контролирует вирусную сеть Win32.Rmnet.12, благодаря чему злоумышленники больше не могут получить к ней доступ и нанести вред инфицированным компьютерам. Во избежание заражения Win32.Rmnet.12 специалисты компании «Доктор Веб» рекомендуют использовать современное антивирусное программное обеспечение и поддерживать вирусные базы в актуальном состоянии. Если вы уже стали жертвой вируса Win32.Rmnet.12, для его удаления следует воспользоваться лечащей утилитой Dr.Web CureIt! или загрузочным компакт-диском Dr.Web LiveCD.

Специальный проект: как удалить BackDoor.Flashback.39 и подробности первой эпидемии для Mac OS X

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — открывает специальный проект, посвященный эпидемии BackDoor.Flashback.39 на компьютерах на базе Mac OS X. Зайдя на Anti-Flashback, вы узнаете о том, как найти и обезвредить BackDoor.Flashback.39, сколько «маков» заражено, и в каких странах они находятся, ознакомиться с хронологией эпидемии, а также почерпнуть другую информацию об этой угрозе.

Новый проект Anti-Flashback предназначен для всех пользователей «маков» — как для тех, кто уже пострадал от троянца BackDoor.Flashback.39, так и для тех, чей компьютер может быть уязвим перед этой угрозой.

На страницах Anti-Flashback вы сможете подробнее узнать о бот-сети Flashback и, в частности, о троянце BackDoor.Flashback.39, посмотреть географию распространения троянской программы и график роста заражений, проследить хронологию эпидемии и прочитать различные материалы о BackDoor.Flashback.39, опубликованные в СМИ. Также для вас: советы по безопасности, информация о других бот-сетях и методе «теневой загрузки».

Вместо «специальных утилит», создаваемых некоторыми разработчиками, для удаления BackDoor.Flashback.39 компания «Доктор Веб» предлагает воспользоваться давно известным сканером Dr.Web Light для Mac OS X, находящимся в топе бесплатных приложений на Mac App Store – он прекрасно справится с обнаружением и обезвреживанием этого троянца, а также других вредоносных программ, представляющих опасность для пользователей «маков».

Наряду с этим вы также можете с помощью специальной формы на Anti-Flashback определить, инфицирован ли ваш «мак» BackDoor.Flashback.39 или нет.

Отдельное внимание просим уделить разделу FAQ, в котором вы найдете ответы на самые популярные вопросы владельцев «маков» о BackDoor.Flashback.39 и эпидемии этого троянца.

Yota отложила на месяц переключение сети в Москве с WiMAX на LTE

Компания «Скартел» (торговая марка Yota) перенесла дату переключения московской сети с WiMAX на LTE с 15 апреля на 10 мая 2012 года.

На главной странице сайта оператора дата в объявлении о запуске «новейшей технологии мобильной связи» поменялась с 15 апреля на 10 мая. Кроме того, во вторник вечером соответствующее объявление было сделано в официальном сообществе Yota в ЖЖ.

«Мы переносим дату запуска новейшей технологии мобильной связи LTE в Москве на 10 мая 2012 года, — говорится в сообщении. — Это сделано для того, чтобы каждый клиент Yota успел получить новое устройство до выключения московской сети WiMAX».

Как предполагают Вести.Ru, у Yota возникли проблемы с поставками абонентских устройств и реализацией программы обмена старого оборудования на новое. В сети нового стандарта старые устройства работать не смогут, поэтому оператор бесплатно заменяет их на новые. Однако многие абоненты оператора жалуются, что замены USB-модемов приходится ждать по две недели.

Что касается мобильных Wi-Fi роутеров с поддержкой сети Yota (модели Yota Egg и более свежая Yota Many), то менять их пока даже не начинали.

Напомним, LTE (от англ. Long-Term Evolution)- это стандарт связи четвертого поколения (4G), разработанный для увеличения возможностей высокоскоростных систем мобильной передачи данных (теоретическая максимальная скорость передачи данных — 326,4 Мбит/с во входящем канале и 172,8 Мбит/с в исходящем). К стандартам связи четвертого поколения также относится стандарт мобильной связи WiMax (скорость до 144 Мбит/с «на вход» и 35 Мбит/с — «на выход»). В январе 2008 года Международный союз электросвязи признал стандарт LTE основным направлением эволюции сетей сотовой связи в мире.

LTE, как ожидается, приведет к появлению качественно новых мобильных сервисов: пользователи смогут в режиме реального времени получать видео высокого качества, работать с интерактивными службами и пр. Первая в мире мобильная сеть на базе технологии LTE была запущена оператором TeliaSonera в центре Стокгольма в декабре 2009 года. Операторское оборудование для сетей LTE выпускают Ericsson, Alcatel-Lucent, Nokia Siemens Networks, Fujitsu, Huawei Technologies, Motorola, Panasonic, Starent и ZTE. Первый в мире смартфон для сетей стандарта LTE был выпущен компанией Samsung в 2010 году.

Новая 4G-сеть Yota будет работать в диапазоне частот 2,5-2,7 ГГц. Поначалу ее покрытие будет таким же, как в сетях WiMAX, однако до конца года Yota планирует увеличить число базовых станций в Москве в полтора раза, а в Московской области — в 10 раз. Скорость подключения составит от 512 килобит до 20 мегабит в секунду. Стоимость услуг будут зависеть от тарифа, который выберет пользователь. Самый дешевый тариф — 400 рублей в месяц.

Активные пользователи сети Yota могут получить новые устройства в точках продаж Yota, либо у курьера, заказав бесплатную доставку. В свободной продаже они появятся после запуска сети. Новые пользователи, а также те, кто давно не пользовался услугами сети, смогут получить LTE-модем бесплатно, внеся на счет не менее 500 рублей.

До сентября 2012 года WiMAX-сети будут отключены в городах по всей России, обещают в компании. Первая в России сеть Yota, использующая стандарт LTE, заработала в Новосибирске в середине января. До этого, в августе 2010 года, «Скартел» включил передатчики LTE в Казани, но проработали они лишь сутки, после чего были закрыты по требованию Роскомнадзора из-за неурегулированного вопроса с лицензиями на частоты.

Инвестиции «Скартела» в строительство LTE-сети и переход на новую технологию связи составили 100 миллионов долларов. О своем желании строить сети LTE ранее заявили несколько российских операторов связи, включая всех крупных игроков рынка.

«Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — провели специальное исследование, позволившее оценить картину распространения троянской программы BackDoor.Flashback, заражающей компьютеры, работающие под управлением операционной системы Mac OS X. Сейчас в ботнете BackDoor.Flashback действует более 550 000 инфицированных рабочих станций, большая часть которых расположена на территории США и Канады. Это в очередной раз опровергает заявления некоторых экспертов об отсутствии угроз для пользователей «маков».

Заражение троянцем BackDoor.Flashback.39 осуществляется с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System, систем распределения трафика), перенаправляющих пользователей Mac OS X на вредоносный сайт. Таких страниц специалистами «Доктор Веб» было выявлено достаточно много — все они содержат Java-скрипт, загружающий в браузер пользователя Java-апплет, который, в свою очередь, содержит эксплойт. Среди недавно выявленных вредоносных сайтов фигурируют, в частности:

  • godofwar3.rr.nu
  • ironmanvideo.rr.nu
  • killaoftime.rr.nu
  • gangstasparadise.rr.nu
  • mystreamvideo.rr.nu
  • bestustreamtv.rr.nu
  • ustreambesttv.rr.nu
  • ustreamtvonline.rr.nu
  • ustream-tv.rr.nu
  • ustream.rr.nu

По информации из некоторых источников на конец марта в выдаче Google присутствовало более 4 млн. зараженных веб-страниц. Кроме того, на форумах пользователей Apple сообщалось о случаях заражения троянцем BackDoor.Flashback.39 при посещении сайта dlink.com.

Начиная с февраля 2012 года злоумышленники начали использовать для распространения вредоносного ПО уязвимости CVE-2011-3544 и CVE-2008-5353, а после 16 марта они стали применять другой эксплойт (CVE-2012-0507). Исправление для данной уязвимости корпорация Apple выпустила только 3 апреля 2012 года.

Эксплойт сохраняет на жесткий диск инфицируемого «мака» исполняемый файл, предназначенный для скачивания полезной нагрузки с удаленных управляющих серверов и ее последующего запуска. Специалистами «Доктор Веб» было выявлено две версии троянца: приблизительно с 1 апреля злоумышленники стали использовать модифицированный вариант BackDoor.Flashback.39. Как и в предыдущих версиях, после запуска вредоносная программа проверяет наличие на жестком диске следующих компонентов:

  • /Library/Little Snitch
  • /Developer/Applications/Xcode.app/Contents/MacOS/Xcode
  • /Applications/VirusBarrier X6.app
  • /Applications/iAntiVirus/iAntiVirus.app
  • /Applications/avast!.app
  • /Applications/ClamXav.app
  • /Applications/HTTPScoop.app
  • /Applications/Packet Peeper.app

Если указанные файлы обнаружить не удалось, то троянец формирует по определенному алгоритму список управляющих серверов, отсылает сообщение об успешной установке на созданный злоумышленниками сервер статистики и выполняет последовательный опрос командных центров.

Следует отметить, что вредоносная программа использует весьма интересный механизм генерации адресов управляющих серверов, позволяющий в случае необходимости динамически перераспределять нагрузку между ними, переключаясь от одного командного центра к другому. Получив ответ управляющего сервера, BackDoor.Flashback.39 проверяет переданное с командного центра сообщение на соответствие подписи RSA, а затем, если проверка оказывается успешной, загружает и запускает на инфицированной машине полезную нагрузку, в качестве которой может выступать любой исполняемый файл, указанный в полученной троянцем директиве.

Каждый из ботов передает управляющему серверу в строке запроса уникальный идентификатор инфицированного компьютера. С использованием метода sinkhole специалистам компании «Доктор Веб» удалось перенаправить трафик ботнета на собственные серверы, что позволило осуществить подсчет инфицированных узлов.

На 4 апреля в бот-сети действует более 550 000 инфицированных компьютеров, работающих под управлением операционной системы Mac OS X. При этом речь идет только о некоторой части ботнета, использующей данную модификацию троянца BackDoor.Flashback. Большая часть заражений приходится на долю США (56,6%, или 303449 инфицированных узлов), на втором месте находится Канада (19,8%, или 106379 инфицированных компьютеров), третье место занимает Великобритания (12,8%, или 68577 случаев заражения), на четвертой позиции — Австралия с показателем 6,1% (32527 инфицированных узлов).

Для того чтобы обезопасить свои компьютеры от возможности проникновения троянца BackDoor.Flashback.39 специалисты компании «Доктор Веб» рекомендуют пользователям Mac OS X загрузить и установить предлагаемое корпорацией Apple обновление безопасности: support.apple.com/kb/HT5228.