Методы обнаружения вирусов

14 мая 2012 года

В апреле 2012 лета бражка «Доктор Веб» — отечественный разработчик денег информационной безопасности — уже сообщала о том, точно бот-сеть, возведенная злодеями на складе файлового вируса Win32.Rmnet.12, превысила по собственной количества миллион инфицированных узлов. В крайнее час специалистами «Доктор Веб» было отмечено распространение новенькой трансформации вируса, получившей название Win32.Rmnet.16. главное различие предоставленной версии вредной программы от ее предшественницы заключается в применении цифровой подписи, коей подписывается айпишник управляющего сервера, а уж уж уж сызнова вирусописатели обновили главные многофункциональные модули приложения. усмиряющее численность случаев инфецирования вирусом Win32.Rmnet.16 приходится на долю англии примерно точно Австралии.

Файловый вирус Win32.Rmnet.16 напечатан на языках С примерно точно Ассемблер примерно точно состоит из нескольких многофункциональных модулей. Инжектор, внедряющий вирус в операционную систему, орудует в точности примерно же, ровно примерно точно близкий составляющую вируса Win32.Rmnet.12: имплантируется в процессы браузера, предохраняет во временную папку личный драйвер примерно точно запускает его в качестве системной службы Micorsoft Windows Service, потом копирует останки вируса во временную директорию примерно точно папку автозапуска со случайным именованием примерно точно расширением .exe.

Функциональные полномочия модуля бэкдора в цельном схожи такому же модулю, входящему в состав Win32.Rmnet.12. этот составляющую в силах уламывать поступающие от удаленного центра директивы, в частности, команды на скачивание примерно точно пуск произвольного файла, обновление вируса, творение примерно точно отправку злодеям снимка экрана примерно точно в книга числе команду ликвидирования операционной системы. впрочем имеются в нем примерно точно немаловажные отличия: Win32.Rmnet.16 применяет цифровую подпись, коей подписывается айпишник управляющего сервера, а уж уж уж адреса самих командных центров нынче перестать зашиты в ресурсах вредного приложения, а уж уж уж генерируются по особому алгоритму. помимо того, модуль бэкдора владеет функционалом, позволяющим «убивать» процессы большинства более общераспространенных антивирусных программ, точно само по для себя появляется добавочным фактором, свидетельствующим об угрозы предоставленной вредной программы. Загруженные бэкдором составляющие вируса примерно точно конфигурационные файлы сберегаются в зашифрованный файл с расширением .log примерно точно именем, сгенерированным на базе инфы о компьютере. этот файл размещается в папке %APPDATA%. Модуль, реализованный в библиотеке modules.dll, загружает заданные из файла с расширением .log примерно точно настраивает них конкретно в оперативной памяти компьютера, вследствие чего применяемые вирусом составляющие на жестком диске ПК перестать расшифровываются.

Как примерно точно предыдущая версия вируса, Win32.Rmnet.16 умеет исполнять запись в загрузочную отрасль диска (MBR), а уж уж уж а уж уж сызнова хранить свои файлы в конце диска в зашифрованном виде. потом перезагрузки операционной системы управление передается инфицированной загрузочной записи, которая читает примерно точно расшифровывает в памяти вредные модули, потом чего запускает их. этот активный составляющую вируса приобрел личное наименование: MBR.Rmnet.1. надлежит отметить, точно антивирусные программы Dr.Web разрешают воскрешать загрузочную запись, измененную Win32.Rmnet.

Среди иных модулей, загружаемых Win32.Rmnet.16 с удаленных командных центров, надлежит обозначить составляющую Ftp Grabber v2.0, предназначенный для кражи паролей от известных FTP-клиентов, личный FTP-сервер, разведывательный модуль примерно точно чуточку иных многофункциональных компонентов.

Инфектор в новенькой версии вируса полиморфный, при данном вирусный модуль инфектора загружается с удаленного интернет-сайта злоумышленников. Вирус инфицирует баста обнаруженные на дисках исполняемые файлы с расширением .exe примерно точно динамические библиотеки с расширением .dll, в книжка числе примерно точно системные, но, в различие от Win32.Rmnet.12, перестать умеет обезьянничать себя на съемные флеш-накопители.

Специалисты фирмы «Доктор Веб» рачительно выслеживают поведение одной из бот-сетей Win32.Rmnet.16. По заданным на 11 мая 2012 года, этот ботнет насчитывает 55 310 инфицированных узлов, из коих преимущественно пятидесяти процентов (55,9%) склонны на территории Великобритании. На втором месте, с показателем 40% от общей количества вирусной сети, надлежит Австралия, почтенное третье пункт (1,3%) разделяют USA примерно точно Франция, гораздо 1% инфицированных компов располагается на территории Австрии, Ирана, Индии примерно точно Германии. максимальное численность случаев инфецирования Win32.Rmnet.16 приходится на долю Лондона (5747 инфицированных ПК, либо 10,4%), 2-ой по количества выявленных роботов крупный город — Сидней (3120 компьютеров, либо 5,6%), дальше следуют австралийские городка Мельбурн (2670 случаев заражения, либо 4,8%), Брисбен (2323 ПК, либо 4,2%), Перт (1481 ПК, либо 2,7%) примерно точно Аделаида (1176 ПК, либо 2,1%). Порядка 1,5% инфицированных машин расположено в британских городках Бирмингеме примерно точно Манчестере. Распределение бот-сети Win32.Rmnet.16 по странам показано на представленной дальше иллюстрации.

Распространение бот-сети Win32.Rmnet.16 по странам мира

Распространение бот-сети Win32.Rmnet.16 по странам мира

На территории нашей родины случаи инфецирования вирусом Win32.Rmnet.16 покудова сызнова носят отдельный характер, впрочем со порой обстоятельства помножать измениться. знатоки фирмы «Доктор Веб» продолжают рачительно наблюдать за заданным ботнетом.

НОВОЕ НА САЙТЕ

6 декабря 2018 года

Вирусные аналитики фирмы «Доктор Веб» выявили в каталоге гугл Play троянца Android.BankBot.495.origin, какой грозил покупателям бразильских кредитных организаций. данный банкер применяет особые способности (Accessibility Ser... Горячая лента угроз и предупреждений о вирусной опасности!

6 декабря 2018 годы

Компания «Доктор Веб» информирует об обновлении Dr.Web for Microsoft Exchange setup (11.5.2.11090) так что Dr.Web for Lotus Domino setup (11.5.0.11081) в продуктах Dr.Web 11.5 для обороны Windows так что в Dr.Web Enterprise Security Suite 11.х

В составе выпущенных модулей было обновлено лицензионное согла... Антивирус Dr.Web

6 декабря 2018 года

Вирусные аналитики фирме «Доктор Веб» выявили в каталоге гугл Play троянца Android.BankBot.495.origin, какой грозил покупателям бразильских кредитных организаций. данный банкер пользуется особые полномочия (Accessibility Ser... Вирусные новости

4 декабря 2018 года

Благодаря поисковой оптимизации вебстраницы помощи на веб-сайте «Доктор Веб» процедура воззвания в службу помощи несравненно сократилась: ныне дабы принять поддержка специалиста, юзеру Dr.Web хватит изготовить четверка ординарных шага.

Обновлена вебстраница помощи на веб-сайте D... Антивирус Dr.Web

3 декабря 2018 года

Компания «Доктор Веб» информирует о расширении перечня доверенных приложений, какой-нибудь применяется модулем оборона от утраты заданных в продукте Dr.Web Security Space версии 12.0. Из перечня убраны версии приложений.

Напомним, будто новинкой Dr.Web Security S... Антивирус Dr.Web