Аналитики компании «Доктор Веб» исследовали файловый вирус Win32.Sector и оценили текущие масштабы заражения.
Данная вредоносная программа известна с 2008 года и представляет собой сложный полиморфный вирус, способный распространяться самостоятельно и заражать файловые объекты. Его основная функция — загрузка из P2P-сети и запуск на зараженной машине различных исполняемых файлов. Win32.Sector способен встраиваться в запущенные на инфицированном компьютере процессы и может останавливать работу некоторых антивирусных программ, блокировать доступ к сайтам их разработчиков. На сегодняшний день известно несколько модификаций Win32.Sector, различающихся реализацией протокола обмена данными в P2P-сети и другими структурными особенностями.
В силу своей архитектуры вирус не имеет управляющих серверов, вместо этого он использует соединение с другими ботами, работающими на зараженных машинах. Вредонос определяет, имеет ли компьютер внешний IP-адрес или работает в сети, использующей NAT. После своего запуска на зараженном компьютере Win32.Sector использует начальный список IP-адресов других ботов, с которыми устанавливает соединение.
По информации на 20 мая 2014 года, в ботнете Win32.Sector насчитывается более 1 млн уникальных ботов, из них более 100 тыс. имеют внешний IP-адрес и могут выступать в роли маршрутизаторов для других зараженных узлов. В среднем ежесуточно активность проявляет около 60 тыс. инфицированных компьютеров.
С точки зрения географии распространения, больше всего зараженных вирусом Win32.Sector компьютеров расположено на территории Тайваня — более 200 тыс. В России зафиксировано 15 600 инфицированных компьютеров.