Методы обнаружения вирусов

9 сентября 2011 г.

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — сообщает о новых случаях заражения пользовательских компьютеров вредоносной программой BackDoor.IRC.NgrBot, с использованием которой злоумышленники создали крупную бот-сеть.

Один из способов распространения троянца — модули флеш-памяти. При подключении «флешки» к USB-порту BackDoor.IRC.NgrBot копируется под случайным именем в папку %RECYCLER% и создает файл автозапуска autorun.inf. Оказавшись на незараженной машине, троянец скрывает системные папки в корне жесткого диска и создает вместо них ярлыки, при открытии которых запускается вредоносная программа. Затем BackDoor.IRC.NgrBot сохраняет себя под случайным именем в системную папку %APPDATA%, прописывается в ветке реестра, отвечающей за автозагрузку приложений, и запускается на выполнение. Вслед за этим BackDoor.IRC.NgrBot встраивается в процесс explorer.exe и все запущенные процессы, кроме skype.exe и lsass.exe, после чего исходный файл удаляется из места, откуда он был первоначально загружен. После запуска троянец проверяет свою целостность: если она нарушена, вредоносная программа стирает загрузочный сектор жесткого диска, а также несколько расположенных ниже секторов и демонстрирует на экране сообщение:

«This binary is invalid.
Main reasons:
- you stupid cracker
- you stupid cracker...
- you stupid cracker?!»
Затем троянец пытается получить привилегии для перезапуска системы.

Если заражение произошло, BackDoor.IRC.NgrBot авторизуется на управляющем IRC-сервере, отсылает об этом отчет и начинает получать различные директивы, среди которых могут быть команды обновления бота, переключения на другой канал IRC, удаления бота, передачи статистики, начала DDoS-атаки, включения редиректа — всего предусмотрено несколько десятков команд. Одной из особенностей данной бот-сети является регулярное криптование ботов, которые закачиваются на инфицированные компьютеры в процессе очередного цикла обновления. Таким образом вирусописатели пытаются затруднить детектирование угрозы антивирусным ПО.

Помимо этого, BackDoor.IRC.NgrBot позволяет злоумышленникам реализовывать следующие функции:

  • управление такими программами, как ipconfig.exe, verclsid.exe, regedit.exe, rundll32.exe, cmd.exe, regsvr32.exe;
  • блокировка доступа к сайтам компаний-производителей антивирусного ПО и ресурсам, посвященным информационной безопасности;
  • перехват и отправка злоумышленникам данных учетных записей при посещении пользователем различных сайтов (включая PayPal, YouTube, Facebook, AOL, Gmail, Twitter и др.);
  • перехват и передача злоумышленникам сообщений, отправленных пользователем на сайтах Facebook, Twitter, В Контакте и т.д.;
  • перенаправление пользователя на различные фишинговые сайты.

Каждый из составляющих сеть ботов генерирует собственное имя исходя из версии установленной на инфицированном компьютере операционной системы, ее локализации, прав, с которыми запущен троянец, а также иных данных. Согласно имеющейся в распоряжении специалистов компании «Доктор Веб» информации, только 2 сентября 2011 года ботами построенной на базе BackDoor.IRC.NgrBot сети было выполнено 60806 редиректов пользователей на фишинговые сайты, имитирующие оформление банковских систем www.davivienda.com и colpatria.com.

Таким образом, можно сделать косвенные выводы о численности ботов, составляющих сеть BackDoor.IRC.NgrBot. Данная бот-сеть действует и в настоящий момент: специалистами компании «Доктор Веб» осуществляется непрерывный мониторинг ее активности. Троянец BackDoor.IRC.NgrBot в различных модификациях включен в вирусные базы Dr.Web. В целях профилактики мы еще раз напоминаем пользователям о необходимости регулярного сканирования дисков их компьютеров обновленным антивирусным ПО.

НОВОЕ НА САЙТЕ

8 августа 2017 года

Компания «Доктор Веб» информирует об обновлении управляющего обслуживания Dr.Web Control Service (11.0.18.07311) в продуктах Dr.Web Security Space 11.0, Антивирус Dr.Web 11.0 так что Dr.Web Enterprise Security Suite 10.1, а уж тоже (11.0.17.07240) в Dr.Web Enterprise Security Suite 10.0 так что Dr.Web AV-Desk 10.0. Обновле... Антивирус Dr.Web

3 августа 2017 года

Компания «Доктор Веб» сообщает о завершении инспекционного контроля для сертифицированной в ФСТЭК России версии Dr.Web Enterprise Security Suite (сертификат соответствия от 27 января 2016 г. № 3509). Эта процедура была направлена на исправление уязвимости Z-2016-02373, расширение перечня поддерживаемых ОС (добавлена поддержка AstraLi... Антивирус Dr.Web

3 августа 2017 года

Компания «Доктор Веб» информирует об обновлении дарового деньги аварийного восстановления так что исцеления ПК – Dr.Web LiveDisk 9.0.

Реализовано поправка проблемы, приводившей на неких системах под управлением ОС Windows к невозможности пуска так что инсталляции продуктов Dr.Web.

Антивирус Dr.Web

3 августа 2017 года

Компания «Доктор Веб» информирует о окончании инспекционного контроля для сертифицированной в ФСТЭК нашей родины версии Dr.Web Enterprise Security Suite (сертификат соответствия от 27 января 2016 г. № 3509). данная процедура была ориентирована на поправка уязвимости Z-2016-02373, расширение списка поддерживаемых ОС (добавлена помощь ... Антивирус Dr.Web

2 августа 2017 года

Специалисты корпорации «Доктор Веб» отмечают, ровно в вебе участились случаи распространения фишинговых писем, кои преступники рассылают якобы от имени отечественного регистратора доменов, корпорации «Региональный Сетевой Информационный Центр» (RU-CENTER). За завершительные две недельки подобные рассылки фиксировались дважды. В их пл... Горячая лента угроз и предупреждений о вирусной опасности!