Европол отключил ботнет-сеть из 3,2 млн. компьютеров

Ботнет-сеть, созданная на основе вируса Ramnit (последняя версия - W32.Ramnit.B), жертвами которого стали 3,2 млн. компьютеров по всему миру, была отключена в результате совместных усилий кибер-криминального центра Европола и нескольких компаний сегмента сетевой безопасности. Было отключено 300 контрольных серверов, в операции приняли участие специалисты из Microsoft, Symantec и AnubisNetworks.

О существовании Ramnit известно с апреля 2010 года, когда он появился в виде червя, заражающего файлы форматов EXE, DLL, HTM и HTML на локальных и съёмных жёстких дисках. За минувшие годы вирус эволюционировал и обзавёлся новыми модулями; в частности, нашёл применение код банковского трояна Zeus, появившегося в мае 2011. Между сентябрём и декабрём того же года было обнаружено 800 тысяч инфицированных Ramnit компьютеров.

Последний вариант вируса включает в себя шесть модулей, позволяющих собирать банковские данные, пароли, куки-файлы и файлы с заражённых компьютеров. Вирус ведёт мониторинг сессий браузера и распознаёт страницы финансовых организаций. Далее возможна инъекция кода, после чего на странице появляется форма для ввода дополнительных данных, которые передаются на контролируемые злоумышленниками серверы.

Считалось, что Ramnit не представляет угрозы, так как большая часть антивирусов научились обнаруживать его. Однако данные телеметрии компании Symantec показали, что заражение продолжалось в 2014 году, только в ноябре зафиксировано 6700 случаев.

Вирус копирует данные как в оперативную память, так и на жёсткий диск. Если последний устраняется антивирусом, происходит копирование из памяти. По данным исследователей, больше всего пострадали компьютеры в Индии. Россия в статистике наиболее затронутых вирусом стран не представлена.