23.05.2012  Новости

По сообщению компании «Доктор Веб», в последнее время ее специалисты отмечают распространение новой модификации файлового вируса Win32.Rmnet.12, получившей наименование Win32.Rmnet.16 (по данным компании, в апреле бот-сеть на базе Win32.Rmnet.12 превысила по своей численности миллион инфицированных узлов). Основное отличие новой версии вредоносной программы от предшественницы заключается в использовании цифровой подписи, которой подписывается IP-адрес управляющего сервера. Вирусописатели также обновили основные функциональные модули приложения. Подавляющее число случаев заражения вирусом Win32.Rmnet.16 приходится на долю Великобритании и Австралии. Файловый вирус Win32.Rmnet.16 написан на языках С и Assembler и состоит из нескольких функциональных модулей. Инжектор, внедряющий вирус в ОС, действует так же, как и аналогичный компонент вируса Win32.Rmnet.12: встраивается в процессы браузера, сохраняет во временную папку собственный драйвер и запускает его в качестве системной службы Micorsoft Windows Service, затем копирует тело вируса во временную директорию и папку автозапуска со случайным именем и расширением .exe. Функциональные возможности модуля бэкдора в целом идентичны такому же модулю, входящему в состав Win32.Rmnet.12. Компонент способен обрабатывать поступающие от удаленного центра директивы, в частности, команды на скачивание и запуск произвольного файла, обновление вируса, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения ОС ... читать далее.