Методы обнаружения вирусов

14 мая 2012 года

В апреле 2012 лета бражка «Доктор Веб» — отечественный разработчик денег информационной безопасности — уже сообщала о том, точно бот-сеть, возведенная злодеями на складе файлового вируса Win32.Rmnet.12, превысила по собственной количества миллион инфицированных узлов. В крайнее час специалистами «Доктор Веб» было отмечено распространение новенькой трансформации вируса, получившей название Win32.Rmnet.16. главное различие предоставленной версии вредной программы от ее предшественницы заключается в применении цифровой подписи, коей подписывается айпишник управляющего сервера, а уж уж уж сызнова вирусописатели обновили главные многофункциональные модули приложения. усмиряющее численность случаев инфецирования вирусом Win32.Rmnet.16 приходится на долю англии примерно точно Австралии.

Файловый вирус Win32.Rmnet.16 напечатан на языках С примерно точно Ассемблер примерно точно состоит из нескольких многофункциональных модулей. Инжектор, внедряющий вирус в операционную систему, орудует в точности примерно же, ровно примерно точно близкий составляющую вируса Win32.Rmnet.12: имплантируется в процессы браузера, предохраняет во временную папку личный драйвер примерно точно запускает его в качестве системной службы Micorsoft Windows Service, потом копирует останки вируса во временную директорию примерно точно папку автозапуска со случайным именованием примерно точно расширением .exe.

Функциональные полномочия модуля бэкдора в цельном схожи такому же модулю, входящему в состав Win32.Rmnet.12. этот составляющую в силах уламывать поступающие от удаленного центра директивы, в частности, команды на скачивание примерно точно пуск произвольного файла, обновление вируса, творение примерно точно отправку злодеям снимка экрана примерно точно в книга числе команду ликвидирования операционной системы. впрочем имеются в нем примерно точно немаловажные отличия: Win32.Rmnet.16 применяет цифровую подпись, коей подписывается айпишник управляющего сервера, а уж уж уж адреса самих командных центров нынче перестать зашиты в ресурсах вредного приложения, а уж уж уж генерируются по особому алгоритму. помимо того, модуль бэкдора владеет функционалом, позволяющим «убивать» процессы большинства более общераспространенных антивирусных программ, точно само по для себя появляется добавочным фактором, свидетельствующим об угрозы предоставленной вредной программы. Загруженные бэкдором составляющие вируса примерно точно конфигурационные файлы сберегаются в зашифрованный файл с расширением .log примерно точно именем, сгенерированным на базе инфы о компьютере. этот файл размещается в папке %APPDATA%. Модуль, реализованный в библиотеке modules.dll, загружает заданные из файла с расширением .log примерно точно настраивает них конкретно в оперативной памяти компьютера, вследствие чего применяемые вирусом составляющие на жестком диске ПК перестать расшифровываются.

Как примерно точно предыдущая версия вируса, Win32.Rmnet.16 умеет исполнять запись в загрузочную отрасль диска (MBR), а уж уж уж а уж уж сызнова хранить свои файлы в конце диска в зашифрованном виде. потом перезагрузки операционной системы управление передается инфицированной загрузочной записи, которая читает примерно точно расшифровывает в памяти вредные модули, потом чего запускает их. этот активный составляющую вируса приобрел личное наименование: MBR.Rmnet.1. надлежит отметить, точно антивирусные программы Dr.Web разрешают воскрешать загрузочную запись, измененную Win32.Rmnet.

Среди иных модулей, загружаемых Win32.Rmnet.16 с удаленных командных центров, надлежит обозначить составляющую Ftp Grabber v2.0, предназначенный для кражи паролей от известных FTP-клиентов, личный FTP-сервер, разведывательный модуль примерно точно чуточку иных многофункциональных компонентов.

Инфектор в новенькой версии вируса полиморфный, при данном вирусный модуль инфектора загружается с удаленного интернет-сайта злоумышленников. Вирус инфицирует баста обнаруженные на дисках исполняемые файлы с расширением .exe примерно точно динамические библиотеки с расширением .dll, в книжка числе примерно точно системные, но, в различие от Win32.Rmnet.12, перестать умеет обезьянничать себя на съемные флеш-накопители.

Специалисты фирмы «Доктор Веб» рачительно выслеживают поведение одной из бот-сетей Win32.Rmnet.16. По заданным на 11 мая 2012 года, этот ботнет насчитывает 55 310 инфицированных узлов, из коих преимущественно пятидесяти процентов (55,9%) склонны на территории Великобритании. На втором месте, с показателем 40% от общей количества вирусной сети, надлежит Австралия, почтенное третье пункт (1,3%) разделяют USA примерно точно Франция, гораздо 1% инфицированных компов располагается на территории Австрии, Ирана, Индии примерно точно Германии. максимальное численность случаев инфецирования Win32.Rmnet.16 приходится на долю Лондона (5747 инфицированных ПК, либо 10,4%), 2-ой по количества выявленных роботов крупный город — Сидней (3120 компьютеров, либо 5,6%), дальше следуют австралийские городка Мельбурн (2670 случаев заражения, либо 4,8%), Брисбен (2323 ПК, либо 4,2%), Перт (1481 ПК, либо 2,7%) примерно точно Аделаида (1176 ПК, либо 2,1%). Порядка 1,5% инфицированных машин расположено в британских городках Бирмингеме примерно точно Манчестере. Распределение бот-сети Win32.Rmnet.16 по странам показано на представленной дальше иллюстрации.

Распространение бот-сети Win32.Rmnet.16 по странам мира

Распространение бот-сети Win32.Rmnet.16 по странам мира

На территории нашей родины случаи инфецирования вирусом Win32.Rmnet.16 покудова сызнова носят отдельный характер, впрочем со порой обстоятельства помножать измениться. знатоки фирмы «Доктор Веб» продолжают рачительно наблюдать за заданным ботнетом.

НОВОЕ НА САЙТЕ

15 августа 2018 года

Компания «Доктор Веб» информирует об обновлении антируткитного модуля Dr.Web Anti-rootkit API (11.5.3.201807181) так что сканирующего обслуживания Dr.Web Scanning Engine (11.5.3.201807040) во любых перечисленных продуктах, управляющего обслуживания Dr.Web Control Service (11.5.8.08090), модуля Dr.Web Thunderstorm Cloud Client SDK (11.5.1.06070), м... Антивирус Dr.Web

15 августа 2018 года

Компания «Доктор Веб» информирует об обновлении модулей Dr.Web Enterprise Agent for Windows setup (11.5.2.08100) так что Dr.Web ES Service (11.5.4.08101) в составе Dr.Web Enterprise Security Suite версии 11.0. Обновление связано с исправлением выявленных ошибок так что увеличением удобства работы для пользователей.

В оба моду... Антивирус Dr.Web

13 августа 2018 года

Компания «Доктор Веб» информирует об обновлении серверной части комплекса Dr.Web Enterprise Security Suite 11.0 (REL-1100-2018007270). Обновление связано с исправлением выявленных ошибок.

Изменения:

  • устранена проблема, приводившая к неработоспособности Сервера Dr.Web так что Прокси-сервера Dr.Web на персональны... Антивирус Dr.Web

    13 августа 2018 возраст

    Компания «Доктор Веб» информирует об обновлении Мобильного центра управления Dr.Web для Android перед началом версии 11.0.1. Обновление связано с исправлением выявленной ошибки.

    В рамках обновления была устранена проблема, в следствии коей перестать отчаливали push-уведомления с Сервера перед началом... Антивирус Dr.Web

    7 августа 2018 года

    Троянцы для Microsoft Windows, подменяющие в буфере обмена отель кошельков при операциях с электронными денежками примерно чисто криптовалютами, обширно всераспространены примерно чисто издавна популярны как же юзерам компьютеров, примерно так чисто специалистам по информационной безопасности. В августе 2018 лета вирусные аналитики «... Горячая лента угроз и предупреждений о вирусной опасности!