На прошлой неделе различные СМИ сообщили о том, что сотрудники отдела по борьбе с киберпреступностью полиции Великобритании совместно со специалистами из Германии, Италии и Нидерландов пресекли деятельность нескольких крупных управляющих серверов Rmnet и блокировали деятельность этого ботнета.
Однако специалисты компании «Доктор Веб» не отмечают снижения активности бот-сетей. Сегодня специалистам «Доктор Веб» известно как минимум 12 подсетей Rmnet, использующих алгоритм генерации доменов управляющих серверов, и как минимум две подсети Win32.Rmnet.12, не использующие автоматическую генерацию доменов (из первой категории специалистами Symantec заблокирована только одна подсеть с seed 79159c10).
Так, в двух подсетях ботнета Win32.Rmnet.12 среднесуточная активность по-прежнему составляет порядка 250 000 – 270 000 инфицированных узлов, что наглядно показано на приведенных ниже графиках:
Среднесуточная активность ботнета Win32.Rmnet.12, 1-я подсеть
Среднесуточная активность ботнета Win32.Rmnet.12, 2-я подсеть
В отслеживаемой специалистами «Доктор Веб» подсети Win32.Rmnet.16 наблюдается значительно меньшая ежесуточная активность, но и здесь не отмечается каких-либо «провалов», связанных с возможной блокировкой управляющих серверов:
Среднесуточная активность ботнета Win32.Rmnet.16
Схожая ситуация наблюдается и при отслеживании активности компьютеров, на которых действуют вредоносные модули, получившие общее обозначение Trojan.Rmnet.19:
Среднесуточная активность ботнета Trojan.Rmnet.19
Приведенная статистика свидетельствует о том, что организаторы мероприятия по уничтожению бот-сети Rmnet, по всей видимости, сумели ликвидировать далеко не все управляющие серверы данного ботнета. Не менее 500 000 инфицированных различными модификациями данного вируса ПК все еще продолжают активно действовать, обращаясь к уцелевшим командным серверам.