Методы обнаружения вирусов

14 мая 2012 года

В апреле 2012 лета бражка «Доктор Веб» — отечественный разработчик денег информационной безопасности — уже сообщала о том, точно бот-сеть, возведенная злодеями на складе файлового вируса Win32.Rmnet.12, превысила по собственной количества миллион инфицированных узлов. В крайнее час специалистами «Доктор Веб» было отмечено распространение новенькой трансформации вируса, получившей название Win32.Rmnet.16. главное различие предоставленной версии вредной программы от ее предшественницы заключается в применении цифровой подписи, коей подписывается айпишник управляющего сервера, а уж уж уж сызнова вирусописатели обновили главные многофункциональные модули приложения. усмиряющее численность случаев инфецирования вирусом Win32.Rmnet.16 приходится на долю англии примерно точно Австралии.

Файловый вирус Win32.Rmnet.16 напечатан на языках С примерно точно Ассемблер примерно точно состоит из нескольких многофункциональных модулей. Инжектор, внедряющий вирус в операционную систему, орудует в точности примерно же, ровно примерно точно близкий составляющую вируса Win32.Rmnet.12: имплантируется в процессы браузера, предохраняет во временную папку личный драйвер примерно точно запускает его в качестве системной службы Micorsoft Windows Service, потом копирует останки вируса во временную директорию примерно точно папку автозапуска со случайным именованием примерно точно расширением .exe.

Функциональные полномочия модуля бэкдора в цельном схожи такому же модулю, входящему в состав Win32.Rmnet.12. этот составляющую в силах уламывать поступающие от удаленного центра директивы, в частности, команды на скачивание примерно точно пуск произвольного файла, обновление вируса, творение примерно точно отправку злодеям снимка экрана примерно точно в книга числе команду ликвидирования операционной системы. впрочем имеются в нем примерно точно немаловажные отличия: Win32.Rmnet.16 применяет цифровую подпись, коей подписывается айпишник управляющего сервера, а уж уж уж адреса самих командных центров нынче перестать зашиты в ресурсах вредного приложения, а уж уж уж генерируются по особому алгоритму. помимо того, модуль бэкдора владеет функционалом, позволяющим «убивать» процессы большинства более общераспространенных антивирусных программ, точно само по для себя появляется добавочным фактором, свидетельствующим об угрозы предоставленной вредной программы. Загруженные бэкдором составляющие вируса примерно точно конфигурационные файлы сберегаются в зашифрованный файл с расширением .log примерно точно именем, сгенерированным на базе инфы о компьютере. этот файл размещается в папке %APPDATA%. Модуль, реализованный в библиотеке modules.dll, загружает заданные из файла с расширением .log примерно точно настраивает них конкретно в оперативной памяти компьютера, вследствие чего применяемые вирусом составляющие на жестком диске ПК перестать расшифровываются.

Как примерно точно предыдущая версия вируса, Win32.Rmnet.16 умеет исполнять запись в загрузочную отрасль диска (MBR), а уж уж уж а уж уж сызнова хранить свои файлы в конце диска в зашифрованном виде. потом перезагрузки операционной системы управление передается инфицированной загрузочной записи, которая читает примерно точно расшифровывает в памяти вредные модули, потом чего запускает их. этот активный составляющую вируса приобрел личное наименование: MBR.Rmnet.1. надлежит отметить, точно антивирусные программы Dr.Web разрешают воскрешать загрузочную запись, измененную Win32.Rmnet.

Среди иных модулей, загружаемых Win32.Rmnet.16 с удаленных командных центров, надлежит обозначить составляющую Ftp Grabber v2.0, предназначенный для кражи паролей от известных FTP-клиентов, личный FTP-сервер, разведывательный модуль примерно точно чуточку иных многофункциональных компонентов.

Инфектор в новенькой версии вируса полиморфный, при данном вирусный модуль инфектора загружается с удаленного интернет-сайта злоумышленников. Вирус инфицирует баста обнаруженные на дисках исполняемые файлы с расширением .exe примерно точно динамические библиотеки с расширением .dll, в книжка числе примерно точно системные, но, в различие от Win32.Rmnet.12, перестать умеет обезьянничать себя на съемные флеш-накопители.

Специалисты фирмы «Доктор Веб» рачительно выслеживают поведение одной из бот-сетей Win32.Rmnet.16. По заданным на 11 мая 2012 года, этот ботнет насчитывает 55 310 инфицированных узлов, из коих преимущественно пятидесяти процентов (55,9%) склонны на территории Великобритании. На втором месте, с показателем 40% от общей количества вирусной сети, надлежит Австралия, почтенное третье пункт (1,3%) разделяют USA примерно точно Франция, гораздо 1% инфицированных компов располагается на территории Австрии, Ирана, Индии примерно точно Германии. максимальное численность случаев инфецирования Win32.Rmnet.16 приходится на долю Лондона (5747 инфицированных ПК, либо 10,4%), 2-ой по количества выявленных роботов крупный город — Сидней (3120 компьютеров, либо 5,6%), дальше следуют австралийские городка Мельбурн (2670 случаев заражения, либо 4,8%), Брисбен (2323 ПК, либо 4,2%), Перт (1481 ПК, либо 2,7%) примерно точно Аделаида (1176 ПК, либо 2,1%). Порядка 1,5% инфицированных машин расположено в британских городках Бирмингеме примерно точно Манчестере. Распределение бот-сети Win32.Rmnet.16 по странам показано на представленной дальше иллюстрации.

Распространение бот-сети Win32.Rmnet.16 по странам мира

Распространение бот-сети Win32.Rmnet.16 по странам мира

На территории нашей родины случаи инфецирования вирусом Win32.Rmnet.16 покудова сызнова носят отдельный характер, впрочем со порой обстоятельства помножать измениться. знатоки фирмы «Доктор Веб» продолжают рачительно наблюдать за заданным ботнетом.

НОВОЕ НА САЙТЕ

9 октября 2018 года

Сервер является важнейшей частью информационной инфраструктуры любой компании — какой бы маленькой или большой она ни была. Оставлять сервер без антивирусной защиты нельзя.

От руководителей компаний нередко можно услышать, что «для нашего сервера антивирус не нужен, так как на него заходит только системный администратор» и «д... Антивирус Dr.Web

8 октября 2018 года

Китайский интернет-магазин AliExpress известен перестать делать делать навряд в нашей родины — обитатели многих государств заказывают в нем разные товары. тем самым так чисто используют киберпреступники, отправляющие покупателям AliExpress жульнические письмеца от имени фирмы – хозяина этого портала.

Эти сообщения оформлены с ... Горячая лента угроз и предупреждений о вирусной опасности!

1 октября 2018 лета

Компания «Доктор Веб» информирует об обновлении модулей drweb-openssl (11.0.5-1809031310), drweb-esagent (11.0.8-1809171947) так что drweb-configd (11.0.9-1809261319) в продуктах Антивирус Dr.Web 11.0 для почтовых серверов UNIX, Антивирус Dr.Web 11.0 для файловых серверов UNIX, Антивирус Dr.Web 11.0 для интернет-шлюзов UNIX так что ... Антивирус Dr.Web

28 сентября 2018 года

Сентябрь 2018 годы был отмечен распространением банковского троянца, угрожавшего пациентам бразильских кредитных организаций. знатоки «Доктор Веб» выявили более 300 удивительных образцов этой вредной программы, а уж уж а уж тоже порядка 120 интернет-площадок, с коих банкер загружал личные компоненты. а уж тоже в уходящем месяце был выявлен шеренг... Вирусные новости

28 сентября 2018 года

В сентябре 2018 возраст в официальном каталоге приложений для ОС Android вирусные аналитики выявили большущее численность троянцев. помимо этого, в уходящем месяце юзерам мобильных механизмов грозили всевозможные Android-банкеры. тоже в сентябре преступники распространяли небезопасного троянца, кой употреблялся для кибершпионажа. В конкретно в эт... Вирусные новости