Методы обнаружения вирусов

9 сентября 2011 г.

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — сообщает о новых случаях заражения пользовательских компьютеров вредоносной программой BackDoor.IRC.NgrBot, с использованием которой злоумышленники создали крупную бот-сеть.

Один из способов распространения троянца — модули флеш-памяти. При подключении «флешки» к USB-порту BackDoor.IRC.NgrBot копируется под случайным именем в папку %RECYCLER% и создает файл автозапуска autorun.inf. Оказавшись на незараженной машине, троянец скрывает системные папки в корне жесткого диска и создает вместо них ярлыки, при открытии которых запускается вредоносная программа. Затем BackDoor.IRC.NgrBot сохраняет себя под случайным именем в системную папку %APPDATA%, прописывается в ветке реестра, отвечающей за автозагрузку приложений, и запускается на выполнение. Вслед за этим BackDoor.IRC.NgrBot встраивается в процесс explorer.exe и все запущенные процессы, кроме skype.exe и lsass.exe, после чего исходный файл удаляется из места, откуда он был первоначально загружен. После запуска троянец проверяет свою целостность: если она нарушена, вредоносная программа стирает загрузочный сектор жесткого диска, а также несколько расположенных ниже секторов и демонстрирует на экране сообщение:

«This binary is invalid.
Main reasons:
- you stupid cracker
- you stupid cracker...
- you stupid cracker?!»
Затем троянец пытается получить привилегии для перезапуска системы.

Если заражение произошло, BackDoor.IRC.NgrBot авторизуется на управляющем IRC-сервере, отсылает об этом отчет и начинает получать различные директивы, среди которых могут быть команды обновления бота, переключения на другой канал IRC, удаления бота, передачи статистики, начала DDoS-атаки, включения редиректа — всего предусмотрено несколько десятков команд. Одной из особенностей данной бот-сети является регулярное криптование ботов, которые закачиваются на инфицированные компьютеры в процессе очередного цикла обновления. Таким образом вирусописатели пытаются затруднить детектирование угрозы антивирусным ПО.

Помимо этого, BackDoor.IRC.NgrBot позволяет злоумышленникам реализовывать следующие функции:

  • управление такими программами, как ipconfig.exe, verclsid.exe, regedit.exe, rundll32.exe, cmd.exe, regsvr32.exe;
  • блокировка доступа к сайтам компаний-производителей антивирусного ПО и ресурсам, посвященным информационной безопасности;
  • перехват и отправка злоумышленникам данных учетных записей при посещении пользователем различных сайтов (включая PayPal, YouTube, Facebook, AOL, Gmail, Twitter и др.);
  • перехват и передача злоумышленникам сообщений, отправленных пользователем на сайтах Facebook, Twitter, В Контакте и т.д.;
  • перенаправление пользователя на различные фишинговые сайты.

Каждый из составляющих сеть ботов генерирует собственное имя исходя из версии установленной на инфицированном компьютере операционной системы, ее локализации, прав, с которыми запущен троянец, а также иных данных. Согласно имеющейся в распоряжении специалистов компании «Доктор Веб» информации, только 2 сентября 2011 года ботами построенной на базе BackDoor.IRC.NgrBot сети было выполнено 60806 редиректов пользователей на фишинговые сайты, имитирующие оформление банковских систем www.davivienda.com и colpatria.com.

Таким образом, можно сделать косвенные выводы о численности ботов, составляющих сеть BackDoor.IRC.NgrBot. Данная бот-сеть действует и в настоящий момент: специалистами компании «Доктор Веб» осуществляется непрерывный мониторинг ее активности. Троянец BackDoor.IRC.NgrBot в различных модификациях включен в вирусные базы Dr.Web. В целях профилактики мы еще раз напоминаем пользователям о необходимости регулярного сканирования дисков их компьютеров обновленным антивирусным ПО.

НОВОЕ НА САЙТЕ

23 октября 2018 года

В опубликованной ранее новости компания «Доктор Веб» рассказала о троянце-загрузчике Android.DownLoader.818.origin, который распро... Горячая лента угроз и предупреждений о вирусной опасности!

23 октября 2018 года

В отношения с отсутствием в Dr.Web новейшей версии 12 помощи Windows XP фирма «Доктор Веб» настойчиво советует юзерам этой ОС подновить систему – либо продолжать воспользоваться Dr.Web 11.5 вплотную перед началом завершения срока помощи этой версии с нашей стороны.

Напомним, словно компания Microsoft Антивирус Dr.Web

23 октября 2018 года

В размещенной прежде новости фирма «Доктор Веб» поведала о троянце-загрузчике Android.DownLoader.818.origin, кой разносился под пе... Вирусные новости

«Доктор Веб» — российский разработчик средств антивирусной защиты под маркой Dr.Web — представляет новую, 12-ю версию продукта Dr.Web для Windows в двух вариантах лицензий — Dr.Web Security Space и Антивирус Dr.Web. Они предназначены для защиты домашних пользователей, а также компаний, которым не требуется централизованное управление антивирусом.

Антивирус Dr.Web

19 октября 2018 года

Троянцы-загрузчики — это вредные программы, кои киберпреступники применяют для распространения иных троянцев. Вирусные аналитики фирмы «Доктор Веб» заприметили 1-го из подобных загрузчиков в каталоге гугл Play. Он скрывался в программе для включения к приватным виртуальным паутинам (VPN).

Троянец, получивший имя Горячая лента угроз и предупреждений о вирусной опасности!