Вирус под Windows превратил в «зомби» уже 1,5 млн компьютеров
Компания «Доктор Веб» объявили об обнаружении огромной «зомби»-сети компьютеров, зараженных файловым вирусом Win32.Rmnet.12. Аналитики подтвердили «МН», что среди владельцев инфицированных ПК есть десятки тысяч российских пользователей. Защититься от вируса можно при помощи бесплатной утилиты.
Чем опасен
Вирус умеет красть пароли от популярных ftp-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других. Кроме того, нехорошая программа изучает файлы cookies пользователя. Информация, которая в них хранится, позволяет злоумышленникам получить доступ к учетным записям жертвы на различных сайтах, требующих авторизации. Например, на электронной почте или в соцсети.
Вредоносный модуль также может заблокировать отдельные сайты и перенаправить пользователя на принадлежащие вирусописателям интернет-ресурсы. Скажем, человек, заходящий на сайт своего банка, попадет на подложную страницу, а впоследствии теряет деньги со счета. Ну и в качестве финального аккорда вирус может получить команду от злоумышленников и уничтожить саму операционную систему на «зомби»-компьютере.
Как проникает
Источником заражения могут быть сайты, в которые внедрен специальный скрипт — они сохраняют на диск компьютера вирус при открытии вредоносной веб-страницы в окне браузера. Кроме того, занести вирус на ПК способна любая инфицированная флешка. Затем вирус начинает саморазмножаться. Он выполняет поиск всех хранящихся на дисках файлов html и добавляет в них код на языке VBScript. Также Win32.Rmnet.12 инфицирует все обнаруженные на дисках файлы с расширением .exe, и копирует себя на флешки.
В корневой папке сохраняется файл автозапуска, и ярлык, ссылающийся на вредоносное приложение, которое запускает вирус, встраивается в процессы браузера. После запуска на ПК с включенном интернетом вирус проверяет скорость подключения к интернету (для этого он с интервалом в 70 секунд отправляет запросы на сайты google.com, bing.com и yahoo.com, анализируя отклики), устанавливает соединение со злоумышленниками и передает им сведения о зараженном компьютере.
Как обнаружить
Впервые вредоносный модуль был обнаружен в сентябре 2011 года, и тогда пораженных им машин было не так уж и много. Однако за короткий срок сеть компьютеров, зараженных Win32.Rmnet.12, выросла с нескольких тысяч до 1 400 520 зараженных узлов (по данным на 15 апреля 2012 года). Только за последнюю неделю число «зомби»-компьютеров, управляемых создателями вируса, увеличилось больше чем на 300 тыс. Опасность в том, что цифра инфицированных ПК продолжает увеличиваться. На сегодняшний день число инфицированных компьютеров в России составляет 43 153 (3,6% от всей сети). По словам представителя «Доктор Веб» Кирилла Леонова, с этой проблемой справиться достаточно просто, имея хороший антивирус с актуальными базами. В противном случае эксперт рекомендует воспользоваться бесплатной утилитой Dr.Web CureIt! и провести сканирование дисков.
- Контекст