Методы обнаружения вирусов

9 сентября 2011 г.

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — сообщает о новых случаях заражения пользовательских компьютеров вредоносной программой BackDoor.IRC.NgrBot, с использованием которой злоумышленники создали крупную бот-сеть.

Один из способов распространения троянца — модули флеш-памяти. При подключении «флешки» к USB-порту BackDoor.IRC.NgrBot копируется под случайным именем в папку %RECYCLER% и создает файл автозапуска autorun.inf. Оказавшись на незараженной машине, троянец скрывает системные папки в корне жесткого диска и создает вместо них ярлыки, при открытии которых запускается вредоносная программа. Затем BackDoor.IRC.NgrBot сохраняет себя под случайным именем в системную папку %APPDATA%, прописывается в ветке реестра, отвечающей за автозагрузку приложений, и запускается на выполнение. Вслед за этим BackDoor.IRC.NgrBot встраивается в процесс explorer.exe и все запущенные процессы, кроме skype.exe и lsass.exe, после чего исходный файл удаляется из места, откуда он был первоначально загружен. После запуска троянец проверяет свою целостность: если она нарушена, вредоносная программа стирает загрузочный сектор жесткого диска, а также несколько расположенных ниже секторов и демонстрирует на экране сообщение:

«This binary is invalid.
Main reasons:
- you stupid cracker
- you stupid cracker...
- you stupid cracker?!»
Затем троянец пытается получить привилегии для перезапуска системы.

Если заражение произошло, BackDoor.IRC.NgrBot авторизуется на управляющем IRC-сервере, отсылает об этом отчет и начинает получать различные директивы, среди которых могут быть команды обновления бота, переключения на другой канал IRC, удаления бота, передачи статистики, начала DDoS-атаки, включения редиректа — всего предусмотрено несколько десятков команд. Одной из особенностей данной бот-сети является регулярное криптование ботов, которые закачиваются на инфицированные компьютеры в процессе очередного цикла обновления. Таким образом вирусописатели пытаются затруднить детектирование угрозы антивирусным ПО.

Помимо этого, BackDoor.IRC.NgrBot позволяет злоумышленникам реализовывать следующие функции:

  • управление такими программами, как ipconfig.exe, verclsid.exe, regedit.exe, rundll32.exe, cmd.exe, regsvr32.exe;
  • блокировка доступа к сайтам компаний-производителей антивирусного ПО и ресурсам, посвященным информационной безопасности;
  • перехват и отправка злоумышленникам данных учетных записей при посещении пользователем различных сайтов (включая PayPal, YouTube, Facebook, AOL, Gmail, Twitter и др.);
  • перехват и передача злоумышленникам сообщений, отправленных пользователем на сайтах Facebook, Twitter, В Контакте и т.д.;
  • перенаправление пользователя на различные фишинговые сайты.

Каждый из составляющих сеть ботов генерирует собственное имя исходя из версии установленной на инфицированном компьютере операционной системы, ее локализации, прав, с которыми запущен троянец, а также иных данных. Согласно имеющейся в распоряжении специалистов компании «Доктор Веб» информации, только 2 сентября 2011 года ботами построенной на базе BackDoor.IRC.NgrBot сети было выполнено 60806 редиректов пользователей на фишинговые сайты, имитирующие оформление банковских систем www.davivienda.com и colpatria.com.

Таким образом, можно сделать косвенные выводы о численности ботов, составляющих сеть BackDoor.IRC.NgrBot. Данная бот-сеть действует и в настоящий момент: специалистами компании «Доктор Веб» осуществляется непрерывный мониторинг ее активности. Троянец BackDoor.IRC.NgrBot в различных модификациях включен в вирусные базы Dr.Web. В целях профилактики мы еще раз напоминаем пользователям о необходимости регулярного сканирования дисков их компьютеров обновленным антивирусным ПО.

НОВОЕ НА САЙТЕ

28 апреля 2017 года

Компания «Доктор Веб» информирует об обновлении обслуживания перехвата трафика Dr.Web Net filtering Service (11.1.11.04270) в ряде продуктов Dr.Web. Обновление связано с исправлением выявленной ошибки.

В освеженном Dr.Web Net filtering Service устранена дилемма с подключением на защищаемых персональных ком... Антивирус Dr.Web

28 апреля 2017 года

В апреле случилось стократ событий, связанных с информационной безопасностью. В начале месяца киберпреступники организовали вредоносную рассылку, с поддержкой коей разносился многокомпонентный троянец. Он специализирован для кражи с инфицированного персонального персонального персонального компьютера секретной информации. В середине апреля эксперты... Вирусные новости

28 апреля 2017 года

В апреле был найден Android-троянец, предназначенный для кибершпионажа. тоже в прошедшем месяце в каталоге гугл Play было выявлено чуточку банкеров, созданных для похищения секретной инфы так что кражи средств со счетов. один-одинехонек троянец был встроен в программы для просмотра видео из Интернета, иной воображал собой приложение-фонарик. Вирусные новости

26 апреля 2017 года

Компания «Доктор Веб» информирует об обновлении агента SpIDer Agent for Windows (11.0.12.04210), управляющего обслуживания Dr.Web Control Service (11.0.12.03240), сканера Dr.Web Scanner SE (11.0.8.04130), обслуживания перехвата трафика Dr.Web Net filtering Service (11.1.10.03140), антируткитного модуля Dr.Web Anti-rootkit API (11.1.9... Антивирус Dr.Web

20 апреля 2017 года

Компания «Доктор Веб» предостерегает об обнаружении новейшей уязвимости в пользующемся популярностью офисном пакете Microsoft Office. Она дозволяет злодеям загружать на атакуемый комп исполняемые файлы.

Уязвимость выявлена в приложении Microsoft Word. преступники разработали для нее деятельный эксплойт, пол... Горячая лента угроз и предупреждений о вирусной опасности!