Методы обнаружения вирусов

14 мая 2012 года

В апреле 2012 лета бражка «Доктор Веб» — отечественный разработчик денег информационной безопасности — уже сообщала о том, точно бот-сеть, возведенная злодеями на складе файлового вируса Win32.Rmnet.12, превысила по собственной количества миллион инфицированных узлов. В крайнее час специалистами «Доктор Веб» было отмечено распространение новенькой трансформации вируса, получившей название Win32.Rmnet.16. главное различие предоставленной версии вредной программы от ее предшественницы заключается в применении цифровой подписи, коей подписывается айпишник управляющего сервера, а уж уж уж сызнова вирусописатели обновили главные многофункциональные модули приложения. усмиряющее численность случаев инфецирования вирусом Win32.Rmnet.16 приходится на долю англии примерно точно Австралии.

Файловый вирус Win32.Rmnet.16 напечатан на языках С примерно точно Ассемблер примерно точно состоит из нескольких многофункциональных модулей. Инжектор, внедряющий вирус в операционную систему, орудует в точности примерно же, ровно примерно точно близкий составляющую вируса Win32.Rmnet.12: имплантируется в процессы браузера, предохраняет во временную папку личный драйвер примерно точно запускает его в качестве системной службы Micorsoft Windows Service, потом копирует останки вируса во временную директорию примерно точно папку автозапуска со случайным именованием примерно точно расширением .exe.

Функциональные полномочия модуля бэкдора в цельном схожи такому же модулю, входящему в состав Win32.Rmnet.12. этот составляющую в силах уламывать поступающие от удаленного центра директивы, в частности, команды на скачивание примерно точно пуск произвольного файла, обновление вируса, творение примерно точно отправку злодеям снимка экрана примерно точно в книга числе команду ликвидирования операционной системы. впрочем имеются в нем примерно точно немаловажные отличия: Win32.Rmnet.16 применяет цифровую подпись, коей подписывается айпишник управляющего сервера, а уж уж уж адреса самих командных центров нынче перестать зашиты в ресурсах вредного приложения, а уж уж уж генерируются по особому алгоритму. помимо того, модуль бэкдора владеет функционалом, позволяющим «убивать» процессы большинства более общераспространенных антивирусных программ, точно само по для себя появляется добавочным фактором, свидетельствующим об угрозы предоставленной вредной программы. Загруженные бэкдором составляющие вируса примерно точно конфигурационные файлы сберегаются в зашифрованный файл с расширением .log примерно точно именем, сгенерированным на базе инфы о компьютере. этот файл размещается в папке %APPDATA%. Модуль, реализованный в библиотеке modules.dll, загружает заданные из файла с расширением .log примерно точно настраивает них конкретно в оперативной памяти компьютера, вследствие чего применяемые вирусом составляющие на жестком диске ПК перестать расшифровываются.

Как примерно точно предыдущая версия вируса, Win32.Rmnet.16 умеет исполнять запись в загрузочную отрасль диска (MBR), а уж уж уж а уж уж сызнова хранить свои файлы в конце диска в зашифрованном виде. потом перезагрузки операционной системы управление передается инфицированной загрузочной записи, которая читает примерно точно расшифровывает в памяти вредные модули, потом чего запускает их. этот активный составляющую вируса приобрел личное наименование: MBR.Rmnet.1. надлежит отметить, точно антивирусные программы Dr.Web разрешают воскрешать загрузочную запись, измененную Win32.Rmnet.

Среди иных модулей, загружаемых Win32.Rmnet.16 с удаленных командных центров, надлежит обозначить составляющую Ftp Grabber v2.0, предназначенный для кражи паролей от известных FTP-клиентов, личный FTP-сервер, разведывательный модуль примерно точно чуточку иных многофункциональных компонентов.

Инфектор в новенькой версии вируса полиморфный, при данном вирусный модуль инфектора загружается с удаленного интернет-сайта злоумышленников. Вирус инфицирует баста обнаруженные на дисках исполняемые файлы с расширением .exe примерно точно динамические библиотеки с расширением .dll, в книжка числе примерно точно системные, но, в различие от Win32.Rmnet.12, перестать умеет обезьянничать себя на съемные флеш-накопители.

Специалисты фирмы «Доктор Веб» рачительно выслеживают поведение одной из бот-сетей Win32.Rmnet.16. По заданным на 11 мая 2012 года, этот ботнет насчитывает 55 310 инфицированных узлов, из коих преимущественно пятидесяти процентов (55,9%) склонны на территории Великобритании. На втором месте, с показателем 40% от общей количества вирусной сети, надлежит Австралия, почтенное третье пункт (1,3%) разделяют USA примерно точно Франция, гораздо 1% инфицированных компов располагается на территории Австрии, Ирана, Индии примерно точно Германии. максимальное численность случаев инфецирования Win32.Rmnet.16 приходится на долю Лондона (5747 инфицированных ПК, либо 10,4%), 2-ой по количества выявленных роботов крупный город — Сидней (3120 компьютеров, либо 5,6%), дальше следуют австралийские городка Мельбурн (2670 случаев заражения, либо 4,8%), Брисбен (2323 ПК, либо 4,2%), Перт (1481 ПК, либо 2,7%) примерно точно Аделаида (1176 ПК, либо 2,1%). Порядка 1,5% инфицированных машин расположено в британских городках Бирмингеме примерно точно Манчестере. Распределение бот-сети Win32.Rmnet.16 по странам показано на представленной дальше иллюстрации.

Распространение бот-сети Win32.Rmnet.16 по странам мира

Распространение бот-сети Win32.Rmnet.16 по странам мира

На территории нашей родины случаи инфецирования вирусом Win32.Rmnet.16 покудова сызнова носят отдельный характер, впрочем со порой обстоятельства помножать измениться. знатоки фирмы «Доктор Веб» продолжают рачительно наблюдать за заданным ботнетом.

НОВОЕ НА САЙТЕ

21 мая 2019 возраст 2019 года

Компания «Доктор Веб» приглашает ознакомиться с брошюрой «Путь UNIX», на вебстраницах коей рассказывается о том, ровно на самом деле обстоят отношения с вредоносными программами, разработанными под данную платформу, а уж а еще о способностях продуктов Dr.Web для UNIX так словно Linux. Брошюра предопределена для корпоративных пользователей... Антивирус Dr.Web

13 мая 2019 года

Компания «Доктор Веб» информирует об обновлении конфигурационного скрипта Lua-script for help (11.5.0.04250), управляющего обслуживания Dr.Web Control Service (11.5.16.04300) так что модуля Dr.Web Enterprise Agent for Windows setup (11.5.8.04250) в агентской части комплекса Dr.Web Enterprise Security Suite 11.0. Обновление св... Антивирус Dr.Web

8 мая 2019 года

Специалисты «Доктор Веб» нашли угрозу для операционной системы macOS, позволяющую загружать так что играть на устройстве юзера всякий код на языке Python. за исключением того, сайты, распространяющие это вредное ПО, еще заражают коварным шпионским троянцем юзеров ОС Windows.

Новая опасность для механизмов под управлением macOS был... Горячая лента угроз и предупреждений о вирусной опасности!

8 мая 2019 года

Специалисты «Доктор Веб» заприметили угрозу для операционной системы macOS, позволяющую загружать так что представлять на устройстве юзера всякий код на языке Python. помимо того, сайты, распространяющие это вредное ПО, тоже заражают коварным шпионским троянцем юзеров ОС Windows.

Новая опасность для механизмов под управлением macO... Вирусные новости

30 апреля 2019 года

В апреле статистика серверов Dr.Web зарегистрировала понижение числа удивительных опасностей на 39.44% по уподоблению с предыдущим месяцем, а уж уж уж уж уж массовое число найденных опасностей снизилось на 14.96%. В почтовом трафике как-нибудь так что раньше доминирует вредное ПО, применяющее уязвимости программ Microsoft Office. Продолжает тен... Вирусные новости