eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternet › Botnet Rmnet ciągle aktywny

Botnet Rmnet ciągle aktywny

2015-03-05 15:42

Botnet Rmnet ciągle aktywny

Botnet Rmnet ciągle aktywny © kentoh - Fotolia.com

PRZEJDŹ DO GALERII ZDJĘĆ (5)

Pomimo licznych raportów agencji prasowych informujących o tym, że Europol przeprowadził potężną operację mającą na celu zatrzymanie działania botnetu Rmnet, analitycy Doctor Web kontynuują monitorowanie jego aktywności. Zgodnie z informacjami w mediach, specjaliści policji brytyjskiej zajmujący się zwalczaniem cyberprzestępczości, razem z ekspertami z Niemiec, Włoch i Holandii ograniczyli aktywność kilku głównych serwerów kontrolno-zarządzających botnetu Rmnet.

Przeczytaj także: Botnety coraz groźniejsze

Zgodnie z wiadomościami prasowymi, 24 lutego 2015 serwery kontrolno-zarządzające botnetu Rmnet były wyłączone dzięki wspólnym działaniom kilku organizacji. Operacja ta zaangażowała Europejskie Centrum Zwalczania Cyberprzestępczości działające w ramach Europolu, CERT-EU, Symantec, Microsoft, AnubisNetworks i inne organizacje europejskie. Przykładowo na stronie Europolu podano, że specjaliści d/s bezpieczeństwa IT zdołali przechwycić około 300 adresów domen internetowych zawierających serwery kontrolno-zarządzające wygenerowane przez ten złośliwy program, a agencja Reuters informuje, że 7 serwerów kontrolno-zarządzających zostało wyłączonych podczas tej operacji. Zgodnie z informacją podaną przez Symantec, ta operacja dezaktywowała botnet zawierający 350 000 zarażonych urządzeń, a bazując na informacjach z Microsoftu, ich całkowita liczba mogła osiągnąć 500 000.

Analitycy bezpieczeństwa Doctor Web monitorują kilka podsieci botnetu, stworzonych przez hakerów z użyciem różnych wersji wirusa Rmnet. Tak więc, modyfikacja nazwana Win32.Rmnet.12 jest znana od września 2011. Win32.Rmnet.12 jest złożonym, wielokomponentowym wirusem zarażającym pliki, składającym się z kilku modułów. Posiada zdolność do samoreplikacji. Może wykonywać polecenia wydawane przez przestępców, osadzać treści w załadowanych stronach www (co teoretycznie pozwala cyberprzestępcom na uzyskanie dostępu do informacji o kontach bankowych ofiar), jak i wykradać "ciasteczka" i hasła zapisane w popularnych klientach FTP, takich jak Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP i innych.

Późniejsza modyfikacja wirusa, Win32.Rmnet.16, różni się od swojego poprzednika kilkoma funkcjami architektury, takimi jak wykorzystywanie podpisu cyfrowego podczas wyboru serwera kontrolno-zarządzającego. Wirus jest w stanie również wykonywać komendy pobierania i uruchamiania niezależnych plików, dokonywać samoaktualizacji, wykonywać zrzuty z ekranu i wysyłać je do cyberprzestępców, jak i uczynić system operacyjny niezdolnym do dalszej pracy. Ponadto jeden z modułów potrafi unieszkodliwiać główne procesy popularnych programów antywirusowych. Tak jak jego poprzednik, Win32.Rmnet.16 potrafi modyfikować główny sektor rozruchowy (MBR) dysku i zapisywać pliki na końcu obszaru dysku w formie zaszyfrowanej.

fot. kentoh - Fotolia.com

Botnet Rmnet ciągle aktywny

Pomimo faktu, że liczne agencje prasowe raportowały o udanej operacji mającej na celu zablokowanie aktywności botnetu Rmnet, eksperci Doctor Web nie odnotowali żadnego spadku aktywności botnetów monitorowanych przez swoje laboratorium antywirusowe.


Pomimo faktu, że liczne agencje prasowe raportowały o udanej operacji mającej na celu zablokowanie aktywności botnetu Rmnet, eksperci Doctor Web nie odnotowali żadnego spadku aktywności botnetów monitorowanych przez swoje laboratorium antywirusowe. Do tej pory analitycy bezpieczeństwa Doctor Web dowiedzieli się o przynajmniej 12 podsieciach botnetu Rmnet, korzystających z algorytmu generowania domen serwerów kontrolno-zarządzających i o co najmniej dwóch podsieciach Win32.Rmnet.12, nie używających funkcji automatycznego generowania domen (specjaliści firmy Symantec zablokowali jedną z podsieci o inicjatorze 79159c10 należącą do pierwszej z wymienionych kategorii).

Przykładowo, dwie podsieci Win32.Rmnet.12 wciąż infekują 250 - 270 tysięcy hostów dziennie, co zostało zilustrowane poniżej:

fot. mat. prasowe

Średnia dzienna aktywność pierwszej podsieci Win32.Rmnet.12

Pierwsza podsieć Win32.Rmnet.12 ciągle atakuje około 250 tysięcy hostów dziennie.

fot. mat. prasowe

Średnia dzienna aktywność drugiej podsieci Win32.Rmnet.12

Druga podsieć Win32.Rmnet.12 jest bardziej aktywna niż pierwsza, generuje około 300 tysięcy ataków dziennie.


Natomiast monitorowana przez analityków bezpieczeństwa Doctor Web podsieć wirusa Win32.Rmnet.16 wykazuje znacznie mniejszą dzienną aktywność, ale tu również nie widać "awarii" powiązanych z możliwym wyłączeniem serwerów kontrolno-zarządzających:

fot. mat. prasowe

Średnia dzienna aktywność botnetu Win32.Rmnet.16

Dzienna aktywność botnetu Win32.Rmnet.16 jest o wiele niższa niż w poprzednich przypadkach.


Podobna sytuacja ma miejsce w przypadku monitorowania komputerów zarażonych innym złośliwym modułem, znanym jako Trojan.Rmnet.19, co przedstawia poniższy wykres:

fot. mat. prasowe

Średnia dzienna aktywność botnetu Trojan.Rmnet.19

Aktywność botnetu Trojan.Rmnet.19 to około 500 zaatakowanych hostów dziennie.

Ukazane statystyki pokazują, że organizatorzy operacji mającej na celu zniszczenie botnetu Rmnet najwyraźniej ponieśli porażkę w wyeliminowaniu wszystkich serwerów kontrolno-zarządzających tego botnetu. Co najmniej 500 000 komputerów, zarażonych różnymi modyfikacjami tego wirusa, wciąż pozostaje aktywnych i odpowiada na polecenia wydawane z ocalałych serwerów. Doctor Web będzie nadal monitorował sytuację dotyczącą tego zagrożenia.

Przeczytaj także

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: