Компания «Доктор Веб» сообщила, что, несмотря на многочисленные сообщения информационных агентств о том, что Европолом проведена крупная операция с целью прекращения деятельности бот-сети Rmnet, ее специалисты продолжают наблюдается активность со стороны этой бот-сети.
По сообщениям информационных агентств, 24 февраля 2015 г., общими усилиями ряда организаций были исключены командных серверов бот-сети Rmnet. В операции приняли участие Европейский центр по борьбе с киберпреступлениями Европола (Европол’s European Cybercrime Centre), CERT-EU (Computer Emergency Response Team), Symantec, Microsoft, AnubisNetworks и других организаций из европейских стран. Так, на веб-сайте Европола сообщает, что специалисты по информационной безопасности не смогли воспользоваться порядка 300 доменов управляющих серверов, порожденных от вредоносных программ, а агентство «Reuters» упоминается о том, что в ходе операции были заблокированы из 7 действующих управляющих серверов. По информации компании Symantec, в результате этой операции была приостановлена деятельность «бот-сети», состоящий из 350 000 зараженных устройств, по данным Microsoft, их общее количество может достигать до 500 000.
При этом, эксперты отмечают снижение активности бот-сетей, о поведении которого вирусная лаборатория ведет постоянный мониторинг. Только сегодня известно как минимум 12 подсетей Rmnet, которые используют алгоритм генерации имен управляющих серверов, и, по крайней мере, две подсети Win32.Rmnet.12, не используются для автоматической генерации имен (из первой категории специалисты из Symantec закрывается только в одной подсети с семенной 79159c10). Статистика показывает, что организаторы мероприятия по уничтожению бот-сети Rmnet, кажется, удалось устранить далеко не все управляющие серверы, этот бот. По крайней мере, как минимум 500 000 инфицированных различных модификаций этого вируса КОМПЬЮТЕР все еще продолжают активно действовать, обращаясь к выживанию командным серверам.