Ботсеть Win32.Rmnet.12 насчитывает свыше 3 миллионов узлов

Как передает антивирусная компания «Доктор Веб», количество машин, зараженных вирусом Win32.Rmnet.12, превысило 3 миллиона. Этот инструмент используется для кражи учетных данных FTP клиентов (таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla и Bullet Proof FTP), перенаправления пользователя на контролируемые злоумышленником сайты, передачи содержимого заполняемых жертвой web-форм, а также для загрузки на скомпрометированную систему дополнительных модулей.

В середине апреля этого года количество ботов Win32.Rmnet.12 уже составляло свыше одного миллиона. С тех пор рост количества зараженных систем показывал очень серьезную динамику и к маю достиг 2,5 миллиона систем, а к концу прошлого месяца эта цифра составила 3,2 миллиона.

Для отслеживания активности крупных ботсетей специалисты «Доктор Веб» используют метод sinkhole, предполагающий создание ложного командного сервера, к которому подключаются зараженные системы. К контролируемому антивирусной компанией серверу Win32.Rmnet.12 ежедневно подключается 5–8 тысяч новых зараженных машин, при этом в отдельные дни их количество может составлять 15 тысяч.

Вирусописатели реализовали в Win32.Rmnet.12 механизм самораспространения, который заражает исполняемые файлы и внешние носители. Также операторы ботнета заражают системы посетителей взломанных web-страниц с помощью вредоносных сценариев, написанных на языке VBScript.

С уведомлением «Доктор Веб» можно ознакомиться здесь.