«Доктор Веб»: ботнет Rmnet продолжает активную деятельность
На днях стало известно, что 24 февраля Европол совместно с правоохранительными органами ряда стран и крупными компаниями провёл скоординированную операцию по обезвреживанию крупного ботнета Rmnet. Сообщалось, что специалистам по информационной безопасности удалось перехватить около 300 доменов, использовавшихся злоумышленниками, а также заблокировать не меньше семи управляющих серверов. Однако мониторинг, осуществляемый компанией «Доктор Веб», позволяет говорить о том, что эффект от операции оказался вовсе не таким, как можно было бы ожидать.
«Доктор Веб» отслеживает несколько подсетей ботнета, созданных злоумышленниками с использованием различных версий вредоносной программы Rmnet. Одной из них является модификация Win32.Rmnet.12, известная ещё с сентября 2011 года. Она представляет собой сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению. Он в состоянии выполнять поступающие от злоумышленников команды, встраивать в просматриваемые пользователем веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других.