Правоохранительные органы вместе с security-компаниями провели операцию по захвату и выведению из строя инфраструктуры крупного ботнета вредоносного ПО Ramnit, который включает в себя более трех миллионов ботов (зараженных компьютеров). В операции участвовала организация Europol, а также CERT различных стран мира, включая, Германию, Италию, Голландию, Великобританию.
Сам Ramnit (ESET: Win32/Ramnit.X, Microsoft: Win32/Ramnit, Trojan:WinNT/Ramnit, Symantec: W32.Ramnit, Hacktool.Rootkit) обладает модульной архитектурой и использовался злоумышленниками для различных целей, в том числе, для кражи данных онлайн-банкинга пользователей. В дальнейшем, эти украденные данные использовались для похищения денежных средств пользователей (преступная схема). Ramnit обладает механизмами самораспространения (файловый вирус), выполняет в системе множество модификаций, а также содержит руткит.
On 24 February, Europol's European Cybercrime Centre (EC3) coordinated a joint international operation from its operational centre in The Hague, which targeted the Ramnit botnet that had infected 3.2 million computers all around the world. The operation involved investigators from Germany, Italy, the Netherlands, and the United Kingdom – who led the operation – along with partners from private industry.
Ramnit включает в себя следующие модули:
- Модуль кражи данных из браузера (граббер): внедряет свой вредоносный код (инжектор) в процесс работающего браузера и путем манипуляций с отображаемыми пользователю формами крадет данные онлайн-банкинга.
- Модуль кражи cookie (cookie grabber): крадет cookie текущей сессии браузера и высылает их на удаленный сервер злоумышленников; в дальнейшем, cookie могут быть использованы злоумышленниками для того, чтобы представиться системе как реальный пользователь.
- Руткит: используется для снятия перехватов в ядре (SSDT), которые могут использовать security-продукты для защиты системы.
- Модуль Anti-AV: нарушает работу всевозможных AV/security продуктов, включая, стандартные Windows Firewall, Defender, UAC.
- Модуль сбора файлов: сканирует файловую систему диска на предмет присутствия там специальных файлов, которые могут представлять из себя ценность (хранить данные онлайн-банкинга). Эти файлы будут отправлены на удаленный сервер.
- VNC-модуль: предоставляет злоумышленникам удаленный доступ к системе.
Список различных системных модификаций, которые одна из модификаций Ramnit может осуществлять в системе здесь. Для обеспечения своей выживаемости в системе, он полностью нарушает работу защищенного режима работы Windows путем удаления разделов реестра, которые отвечают за его реализацию.
Автор: esetnod32