В последние недели по миру быстро распространяется файловый вирус Win32.Rmnet.12. С его помощью киберзлоумышленники создали ботнет, уже насчитывающий более миллиона инфицированных ПК на базе Microsoft Windows. Вирус реализует функции бэкдора, а также крадёт пароли. Это используется для организации сетевых атак или заражения сайтов. Обрабатывая указания, поступающие от удаленного центра управления, Win32.Rmnet.12 также может дать команду на уничтожение операционной системы.

Win32.Rmnet.12 - это сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и способный к саморазмножению. Запустившись, он проверяет, какой браузер установлен по умолчанию и встраивается в его процессы. Далее, сгенерировав имя собственного файла на основе серийного номера HDD, он сохраняется в папку автозагрузки, установив для вредоносного файла атрибут "скрытый". В ту же папку сохраняется и конфигурационный файл, в который записываются данные требуемые для работы вредоноса. Затем на основе заложенного в него алгоритма вирус определяет имя управляющего сервера и пытается установить с ним соединение.

Впервые информация о Win32.Rmnet.12 появилась в сентябре 2011 года. Теперь о его распространении рассказывает компания "Доктор Веб". По её информации, большинство заражённых ПК пришлось на долю Индонезии (27,12%). На втором месте - Бангладеш (14,08%), на третьем месте - Вьетнам (13,08%). Далее следуют Индия (7,05%), Пакистан (3,9%), Россия (3,6%), Египет (2,8%), Нигерия (2,3%), Непал (2,3%) и Иран (2%). Среди заметно пострадавших также оказались Казахстан (1,67%) и Беларусь (1,2%).

Win32.Rmnet.12 попадает на ПК разными путями: через зараженные исполняемые файлы, инфицированные флешки, а также при помощи специальных скриптов, интегрированных в html-документы. В последнем случае вирус сохраняется на жёсткий диск при открытии вредоносной веб-страницы. Сигнатура подобных сценариев, написанных на языке VBScript, была добавлена в базы Dr.Web под именем VBS.Rmnet.

Важный компонент Win32.Rmnet.12 - модуль бэкдора. После запуска ПК этот модуль выясняет скорость интернет-подключения, для чего с интервалом в 70 секунд отправляет запросы на сайты google.com, bing.com и yahoo.com, анализируя отклики. Проверив соединение, вирус запускает на инфицированном ПК FTP-сервер и подключается к командному центру, передавая ему сведения о зараженноё машине.

Виктор ДЕМИДОВ