«Доктор Веб» предупреждает: вирус Rmnet.12 создал бот-сеть из миллиона компьютеров на базе Windows

18 апреля 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о широком распространении файлового вируса Win32.Rmnet.12, c помощью которого злоумышленники создали бот-сеть, насчитывающую более миллиона инфицированных компьютеров. Вирус Win32.Rmnet.12 заражает ПК на базе Microsoft Windows, реализуя функции бэкдора, а также осуществляя кражу паролей (от популярных FTP-клиентов), которые могут быть использованы для организации сетевых атак или заражения сайтов. Обрабатывая поступающие от удаленного центра злоумышленников указания, Win32.Rmnet.12 также может дать команду на уничтожение операционной системы.

Впервые информация о вирусе Win32.Rmnet.12 была добавлена в базы Dr.Web еще в сентябре 2011 года. Начиная с этого момента специалисты «Доктор Веб» внимательно следили за развитием этой угрозы. Вирус проникает на компьютеры разным путем: через инфицированные флеш-накопители, зараженные исполняемые файлы, а также при помощи специальных скриптов, интегрированных в html-документы — они сохраняют на диск компьютера вирус при открытии вредоносной веб-страницы в окне браузера. Сигнатура подобных сценариев, написанных на языке VBScript, была добавлена в базы Dr.Web под именем VBS.Rmnet.

Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению (умеет копировать сам себя и бесконтрольно распространяться без участия пользователя). Запустившись в операционной системе, Win32.Rmnet.12 проверяет, какой браузер установлен по умолчанию (если таковой не обнаружен, вирус выбирает в качестве цели Microsoft Internet Explorer) и встраивается в процессы браузера. Затем, сгенерировав имя собственного файла на основе серийного номера жесткого диска, вирус сохраняется в папку автозагрузки текущего пользователя и устанавливает для вредоносного файла атрибут «скрытый». В ту же папку сохраняется и конфигурационный файл, в который записываются необходимые для работы вредоносной программы данные. Затем на основе заложенного в него алгоритма вирус определяет имя управляющего сервера и пытается установить с ним соединение.

Одним из компонентов вируса является модуль бэкдора. После запуска он пытается определить скорость соединения компьютера с Интернетом, для чего с интервалом в 70 секунд отправляет запросы на сайты google.com, bing.com и yahoo.com, анализируя отклики. Затем Win32.Rmnet.12 запускает на инфицированной машине FTP-сервер и устанавливает соединение с командным центром, передавая ему сведения о зараженном компьютере. Бэкдор способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление самого себя, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы.

Другой функциональный компонент вируса предназначен для кражи паролей от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других. Эти данные впоследствии могут быть использованы злоумышленниками для организации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. К тому же Win32.Rmnet.12 не брезгует покопаться и в cookies пользователя, в результате чего злоумышленники могут получить доступ к учетным записям жертвы на различных сайтах, требующих авторизации. Кроме того, модуль обладает функционалом, позволяющим осуществлять блокировку отдельных сайтов и перенаправление пользователя на принадлежащие вирусописателям интернет-ресурсы. Одна из модификаций Win32.Rmnet.12 также способна осуществлять веб-инжекты, благодаря чему вирус может похищать банковскую информацию.

Распространение вируса происходит несколькими путями: во-первых, с использованием уязвимостей браузеров, позволяющих сохранять и запускать исполняемые файлы при открытии веб-страниц. Вирус выполняет поиск всех хранящихся на дисках файлов html и добавляет в них код на языке VBScript. Помимо этого, Win32.Rmnet.12 инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и умеет копировать себя на съемные флеш-накопители, сохраняя в корневую папку файл автозапуска и ярлык, ссылающийся на вредоносное приложение, которое в свою очередь запускает вирус.

Ботнет, состоящий из зараженных Win32.Rmnet.12 компьютеров, был впервые обнаружен компанией «Доктор Веб» еще в сентябре 2011 года, когда образец самого вируса впервые попал в антивирусную лабораторию. Вскоре были расшифрованы хранящиеся в ресурсах Win32.Rmnet.12 имена управляющих серверов. Спустя некоторое время специалисты проанализировали также протокол обмена данными между ботнетом и управляющими центрами, что позволило не только определять количество ботов в сети, но и контролировать их поведение. 14 февраля 2012 года аналитиками компании «Доктор Веб» был применен известный метод sinkhole, который впоследствии успешно использовался для изучения сети троянцев BackDoor.Flashback.39, а именно были зарегистрированы домены управляющих серверов одной из сетей Win32.Rmnet.12, что позволило установить полный и всеобъемлющий контроль над этим ботнетом. В конце февраля аналогичным образом была захвачена вторая подсеть Win32.Rmnet.12.

Первоначально количество составляющих сеть Win32.Rmnet.12 инфицированных машин было относительно невелико и насчитывало несколько сотен тысяч ботов, однако это число постепенно увеличивалось. По данным на 15 апреля 2012 года, ботнет Win32.Rmnet.12 состоит из 1 400 520 зараженных узлов и продолжает уверенно расти. Динамика изменения численности сети показана на представленном ниже графике.

Наибольшее количество зараженных ПК приходится на долю Индонезии — 320 014 инфицированных машины, или 27,12%. На втором месте находится государство Бангладеш с числом заражений 166 172, что составляет 14,08% от размеров всего ботнета. На третьем месте — Вьетнам (154 415 ботов, или 13,08%), далее следуют Индия (83 254 бота, или 7,05%), Пакистан (46 802 бота, или 3,9%), Россия (43 153 инфицированных машины, или 3,6%), Египет (33 261 бот, или 2,8%), Нигерия (27 877 ботов, или 2,3%), Непал (27 705 ботов, или 2,3%) и Иран (23 742 бота, или 2,0%). Достаточно велико количество пострадавших от данного вируса на территории Казахстана (19 773 случая заражения, или 1,67%) и Беларуси (14 196 ботов, или 1,2%). В Украине зафиксировано 12 481 случай инфицирования Win32.Rmnet.12, что составляет 1,05% от размеров всей бот-сети. Относительно небольшое количество зараженных компьютеров выявлено в США — 4 327 единиц, что соответствует 0,36%. Ну а меньше всего случаев приходится на долю Канады (250 компьютеров, или 0,02% от объемов сети) и Австралии (всего лишь 46 компьютеров). По одному инфицированному ПК было выявлено в Албании, Дании и Таджикистане. Географическое распределение ботнета Win32.Rmnet.12 продемонстрировано на предложенной ниже иллюстрации.

Следует отметить, что компания «Доктор Веб» полностью контролирует вирусную сеть Win32.Rmnet.12, благодаря чему злоумышленники больше не могут получить к ней доступ и нанести вред инфицированным компьютерам. Во избежание заражения Win32.Rmnet.12 специалисты компании «Доктор Веб» рекомендуют использовать современное антивирусное программное обеспечение и поддерживать вирусные базы в актуальном состоянии. Если вы уже стали жертвой вируса Win32.Rmnet.12, для его удаления следует воспользоваться лечащей утилитой Dr.Web CureIt! или загрузочным компакт-диском Dr.Web LiveCD.

Прощай нокия.

Перевод открытого письма CEO компаний Стива Балмера (Steve Ballmer) и Стивена Элопа (Stephen Elop)

Сегодня в Лондоне обе компании объявили о планах по стратегическому партнерству, которое объединит силы обеих компаний и создаст новую мобильную экосистему. Партнерство, по их словам, увеличит масштабы обеих компаний, что положительно скажется для потребителей, разработчиков, мобильных операторов и компаний по всему миру.

Дальше идет бла-бла-бла про светлые перспективы и прочий захват мира. Читайте оригинал или перевод на хабре http://habrahabr.ru/blogs/windows_mobile/113559/

С моей точки зрения — это кидок владельцев симбиан и удар по нокиевским клиентам. Я например уже не куплю свежий смарт от нокии под виндой.

И вот снова встает проблема выбора. Телефоны ломаются и теряются, а нокии больше нет.

В погоне за длинным баксом или в агонии от наступающего андроида или потому, что Стивен Элоп (Stephen Elop) пришел из M$, хорошая компания подписала себе приговор.

Позволю себе копипастнуть

На трибунах становится тише…
Тает быстрое время чудес.
До свиданья, наш ласковый Симибан,
Возвращайся в свой сказочный лес.
Не грусти, улыбнись на прощанье,
Вспоминай эти дни, вспоминай…
Пожелай исполненья желаний,
Новой встречи нам всем пожелай.

В связи со всем этим, во весь рост встал вопрос.

Что выбрать? Что выбрать, что бы не надо было платить за каждый чих, чтобы Большой Брат в виде M$ или Apple не заглядывал через плечо, что бы как минимум, не потерялась функциональность.

Прощай нокия, ты была мои выбором уже 8 лет.. Твоих телефонов у меня было штук 6 и я активно рекомендовал их знакомым… И не разу не жалел о выборе.

Пришла пора найти новый выбор, который будет как минимум не хуже.

Грустно, когда кончается эпоха, но попробуем смотреть на мир веселее. Пользоваться быдломастдаем конечно не буду, пришла пора взять какой нибудь девайс на андроиде и поглядеть, что же это за зверь.

В России Windows 7 в два раза дороже, чем в США

В четверг, 22 октября, компания Microsoft наконец официально представила новую операционную систему Windows 7. В России презентация прошла в футуристическом кафе International City Club.

На мероприятии впервые была озвучена цена на Windows 7, которую Microsoft рекомендует своим российским партнерам. Она составит от 4 тыс. рублей за Windows 7 «Домашняя базовая» (Home Basic) до 14 тыс. – за Windows 7 «Максимальная» (Ultimate). Это значит, что на деле легальная Windows 7 может оказаться еще дороже. Например, на сайте ozon.ru версию «Домашняя базовая» можно заказать за 4350 рублей, «Домашняя расширенная» – за 6950 рублей, «Профессиональная» – за 10 499 рублей, «Максимальная» – за 14 490 рублей.

Таким образом, российские цены на Windows 7 оказались выше, чем в США. Там цены при апгрейде с Vista или XP составляют всего $220 за версию Ultimate (6,5 тыс. рублей), $200 (5,8 тыс. рублей) за Professional и $120 (3,5 тыс. рублей) за Home Premium, если заказать операционную систему на сайте Microsoft. Дешевая версия Home Basic в США и Евросоюзе не продается.

По сравнению с Европой цены оказались на сопоставимом уровне. Например, во Франции через сайт корпорации можно заказать полную коробочную версию Ultimate за 320 евро (около 14 тыс. рублей), Professional – за 310 евро (13,5 тыс. рублей), Home Premium – за 200 евро (8,7 тыс. рублей). Если покупать апгрейд к старой версии Windows, то же самое обойдется в 300 евро (13 тыс. рублей), 290 евро (12,6 тыс. рублей) и 120 евро (5,2 тыс.) соответственно.

Напомним, что в интервью журналу «Компьютерра» глава российской Microsoft Николай Прянишников обещал, что цены на Windows 7 у нас будут ниже, чем в Европе, чтобы компенсировать отсутствие скидок при апгрейде.

В Windows Vista найдена опасная уязвимость

Корпорация Microsoft предупреждает об обнаружении опасной уязвимости в операционных системах Windows Vista и Windows Server 2008.

Как сообщается в опубликованном в минувший вторник уведомлении, проблема связана с особенностями реализации протокола Server Message Block (SMB). При помощи сформированного специальным образом пакета данных злоумышленник может выполнить произвольные операции на машине жертвы или спровоцировать аварийное завершение работы системы.

«Майкрософт» занимается решением проблемы, однако о сроках выпуска патча ничего не сообщается.

Одновременно корпорация опубликовала «заплатки» для восьми критически опасных уязвимостей в операционных системах Windows различных версий, в том числе Windows ХР и Windows Vista. «Дыры» найдены в средствах автоматического конфигурирования беспроводных соединений, реализации поддержки протоколов TCP/IP, движке JScript, компонентах обработки мультимедийных файлов в форматах MP3 и ASF и др. Уязвимости теоретически позволяют захватить полный контроль над атакуемым компьютером и выполнить на нем вредоносный программный код.

Загрузить патчи, а также обновленную версию утилиты Malicious Software Removal Tool для устранения наиболее распространенных вредоносных программ можно через службы Windows Update, Microsoft Update и встроенные в Windows средства автоматического обновления.

Автор Владимир Парамонов

Microsoft обвинили в слежке за пользователями Windows

M$ продолжает следить за своими рабами. Ибо несчастных пользователей это ОС никак нельзя назвать свободными людьми

Против Microsoft подан иск в вашингтонский окружной суд. Корпорация обвиняется в нарушении права на неприкосновенность частной жизни. Истцы утверждают, что программа Windows Genuine Advantage (WGA), которая распространяется как обновление к операционной системе Windows, ежедневно отправляет в Microsoft персональные данные о пользователе вопреки заявлениям самой компании. Об этом пишет издание The Register.

Также авторы иска, который претендует на статус коллективного, обвиняют Microsoft в использовании лживой рекламы. Версия WGA для Windows XP распространялась корпорацией как важное обновление безопасности. На самом деле WGA лишь проверяет лицензионный статус операционной системы и к безопасности компьютера не имеет никакого отношения. Сокрытие подлинной функциональности приложения — типичный прием создателей шпионских программ, считают истцы.

Пользователи операционных систем Windows XP, Vista и Windows 7 обязаны установить WGA, чтобы иметь возможность загружать обновления и дополнения. Программа распространяется как отдельное приложение или в виде плагина к браузеру Internet Explorer.

Корпорация Microsoft уверяет, что WGA не собирает никаких персональных данных. Истцы же утверждают, что данная программа ежедневно отправляет в компанию IP-адрес пользователя и другие сведения, которые могут быть использованы для персональной идентификации.

Также компанию обвиняют в намеренном усложнении процедуры удаления WGA. Такое поведение — еще один признак, который позволяет отнести Windows Genuine Advantage к категории шпионских программ, говорится в заявлении.

Ранее против Microsoft уже подавались аналогичные иски, которые не привели ни к каким результатам, пишет The Register. С 2007 года корпорация предлагает пользователям установить модуль Office Genuine Advantage (OGA), который проверяет подлинность лицензий на программы из пакета Microsoft Office.

Windows Genuine Advantage критикуют не только за вторжение в частную жизнь пользователей, но и за высокий уровень ложных срабатываний. В результате ошибок WGA легальные копии Windows часто объявлялись пиратскими, и пользователи лишались возможности работать в операционной системе.