Методы обнаружения вирусов

14 мая 2012 года

В апреле 2012 лета бражка «Доктор Веб» — отечественный разработчик денег информационной безопасности — уже сообщала о том, точно бот-сеть, возведенная злодеями на складе файлового вируса Win32.Rmnet.12, превысила по собственной количества миллион инфицированных узлов. В крайнее час специалистами «Доктор Веб» было отмечено распространение новенькой трансформации вируса, получившей название Win32.Rmnet.16. главное различие предоставленной версии вредной программы от ее предшественницы заключается в применении цифровой подписи, коей подписывается айпишник управляющего сервера, а уж уж уж сызнова вирусописатели обновили главные многофункциональные модули приложения. усмиряющее численность случаев инфецирования вирусом Win32.Rmnet.16 приходится на долю англии примерно точно Австралии.

Файловый вирус Win32.Rmnet.16 напечатан на языках С примерно точно Ассемблер примерно точно состоит из нескольких многофункциональных модулей. Инжектор, внедряющий вирус в операционную систему, орудует в точности примерно же, ровно примерно точно близкий составляющую вируса Win32.Rmnet.12: имплантируется в процессы браузера, предохраняет во временную папку личный драйвер примерно точно запускает его в качестве системной службы Micorsoft Windows Service, потом копирует останки вируса во временную директорию примерно точно папку автозапуска со случайным именованием примерно точно расширением .exe.

Функциональные полномочия модуля бэкдора в цельном схожи такому же модулю, входящему в состав Win32.Rmnet.12. этот составляющую в силах уламывать поступающие от удаленного центра директивы, в частности, команды на скачивание примерно точно пуск произвольного файла, обновление вируса, творение примерно точно отправку злодеям снимка экрана примерно точно в книга числе команду ликвидирования операционной системы. впрочем имеются в нем примерно точно немаловажные отличия: Win32.Rmnet.16 применяет цифровую подпись, коей подписывается айпишник управляющего сервера, а уж уж уж адреса самих командных центров нынче перестать зашиты в ресурсах вредного приложения, а уж уж уж генерируются по особому алгоритму. помимо того, модуль бэкдора владеет функционалом, позволяющим «убивать» процессы большинства более общераспространенных антивирусных программ, точно само по для себя появляется добавочным фактором, свидетельствующим об угрозы предоставленной вредной программы. Загруженные бэкдором составляющие вируса примерно точно конфигурационные файлы сберегаются в зашифрованный файл с расширением .log примерно точно именем, сгенерированным на базе инфы о компьютере. этот файл размещается в папке %APPDATA%. Модуль, реализованный в библиотеке modules.dll, загружает заданные из файла с расширением .log примерно точно настраивает них конкретно в оперативной памяти компьютера, вследствие чего применяемые вирусом составляющие на жестком диске ПК перестать расшифровываются.

Как примерно точно предыдущая версия вируса, Win32.Rmnet.16 умеет исполнять запись в загрузочную отрасль диска (MBR), а уж уж уж а уж уж сызнова хранить свои файлы в конце диска в зашифрованном виде. потом перезагрузки операционной системы управление передается инфицированной загрузочной записи, которая читает примерно точно расшифровывает в памяти вредные модули, потом чего запускает их. этот активный составляющую вируса приобрел личное наименование: MBR.Rmnet.1. надлежит отметить, точно антивирусные программы Dr.Web разрешают воскрешать загрузочную запись, измененную Win32.Rmnet.

Среди иных модулей, загружаемых Win32.Rmnet.16 с удаленных командных центров, надлежит обозначить составляющую Ftp Grabber v2.0, предназначенный для кражи паролей от известных FTP-клиентов, личный FTP-сервер, разведывательный модуль примерно точно чуточку иных многофункциональных компонентов.

Инфектор в новенькой версии вируса полиморфный, при данном вирусный модуль инфектора загружается с удаленного интернет-сайта злоумышленников. Вирус инфицирует баста обнаруженные на дисках исполняемые файлы с расширением .exe примерно точно динамические библиотеки с расширением .dll, в книжка числе примерно точно системные, но, в различие от Win32.Rmnet.12, перестать умеет обезьянничать себя на съемные флеш-накопители.

Специалисты фирмы «Доктор Веб» рачительно выслеживают поведение одной из бот-сетей Win32.Rmnet.16. По заданным на 11 мая 2012 года, этот ботнет насчитывает 55 310 инфицированных узлов, из коих преимущественно пятидесяти процентов (55,9%) склонны на территории Великобритании. На втором месте, с показателем 40% от общей количества вирусной сети, надлежит Австралия, почтенное третье пункт (1,3%) разделяют USA примерно точно Франция, гораздо 1% инфицированных компов располагается на территории Австрии, Ирана, Индии примерно точно Германии. максимальное численность случаев инфецирования Win32.Rmnet.16 приходится на долю Лондона (5747 инфицированных ПК, либо 10,4%), 2-ой по количества выявленных роботов крупный город — Сидней (3120 компьютеров, либо 5,6%), дальше следуют австралийские городка Мельбурн (2670 случаев заражения, либо 4,8%), Брисбен (2323 ПК, либо 4,2%), Перт (1481 ПК, либо 2,7%) примерно точно Аделаида (1176 ПК, либо 2,1%). Порядка 1,5% инфицированных машин расположено в британских городках Бирмингеме примерно точно Манчестере. Распределение бот-сети Win32.Rmnet.16 по странам показано на представленной дальше иллюстрации.

Распространение бот-сети Win32.Rmnet.16 по странам мира

Распространение бот-сети Win32.Rmnet.16 по странам мира

На территории нашей родины случаи инфецирования вирусом Win32.Rmnet.16 покудова сызнова носят отдельный характер, впрочем со порой обстоятельства помножать измениться. знатоки фирмы «Доктор Веб» продолжают рачительно наблюдать за заданным ботнетом.

НОВОЕ НА САЙТЕ

22 февраля 2019 года

Компания «Доктор Веб» припоминает о состоявшемся продлении сертификата соответствия ФСТЭК нашей родины №3509 на Dr.Web Enterprise Security Suite так что предлагает клиентов, использующих 10-ю версию наших сертифицированных ФСТЭК нашей родины продуктов, Антивирус Dr.Web

22 февраля 2019 года

Чтобы осуществить запросы российского законодательства о обороне индивидуальных данных, инсталляции достоверного антивируса (отечественного изготовления так что животрепещущей версии) недостаточно. Необходимо, дабы устанавливаемая версия была сертифицирована ФСТЭК нашей родины так что в фирмы имелся для нее медиапакет с дисками с сертифицированным... Антивирус Dr.Web

21 февраля 2019 года

Компания «Доктор Веб» информирует об обновлении Мобильного центра управления Dr.Web для Android перед началом версии 11.1.1.201902130. Обновление связано с конфигурацией списка поддерживаемых ОС Android так что исправлением выявленных ошибок.

Изменения в поддерживаемых ОС:

  • прекращена помощь ОС Android далее вер... Антивирус Dr.Web

    19 февраля 2019 года

    Специалисты корпорации Доктор Веб» находят в каталоге гугл Play шабаш более троянцев семейства Android.HiddenAds, специализированных для показа назойливой рекламы. С основания февраля было выявлено почитай 40 новеньких трансформаций... Горячая лента угроз и предупреждений о вирусной опасности!

    19 февраля 2019 года

    Компания «Доктор Веб» информирует о возвращении набора «Малый бизнес» в витрину интернет-магазина estore.drweb.ru. Благодаря Телепорту Dr.Web стать воспользоваться продуктами набора можно моментально же далее покупки, закончить дожидаясь п... Антивирус Dr.Web