В ноябре 2011 лета фирма «Доктор Веб» — отечественный разработчик денег информационной безопасности — о распространении узкоспециализированной троянской программы BackDoor.Dande, предназначенной для кражи инфы у представителей отечественных лекарственных компаний. С внедрением технологии sinkhole специалистам фирме «Доктор Веб» получилось ввести абсолютный контроль над ботнетом Dande, благодаря чему в направление полугода аналитики имели вероятность досматривать за поведением этой бот-сети. Можно мужественно сказать, точно на протяжении этого периода троянцы семейства BackDoor.Dande нимало закончить потеряли собственной активности.
BackDoor.Dande — достаточно непростой многокомпонентный троянец, шифрующий свои модули ключом, привязанным к заядлой инфицированной машине, эдак точно автономно загружающий их в память. Благодаря данному детектировать заданные вредные модули можно вряд в оперативной памяти зараженного компьютера, а уж дешифрировать их раздельно от инфицированного ПК дьявольски мудрено в силу уникальности ключа. за исключением того, загрузчик модулей имплантируется в первую секцию одной из системных библиотек Windows, в итоге чего ее останавливается непереносимо отличить от незараженной библиотеки по формальным признакам, свойственным для вирусных инфекторов.
Для инсталляции в систему BackDoor.Dande применяет нормальную библиотеку system32msi.dll. Дроппер троянца встраивает нездоровый код в системную службу MSIServer, с поддержкой коей исполняется предстоящее инфецирование рабочей станции. Так, загружаясь в оперативную память, модуль инфектора испытывает версию операционной системы, в коей запущен троянец: в случае в случае если это Microsoft Windows XP, происходит инфецирование библиотеки advapi32.dll, в ОС наиболее старших версий заражается книгохранилище kernelbase.dll — в эти библиотеки имплантируется модуль бэкдора, выполняющего поступающие от удаленных серверов команды эдак точно осуществляющего загрузку доборных компонент троянца.
После успешной инсталляции эдак точно пуска бэкдора он подключается к удаленным управляющим серверам эдак точно передает информацию об инфицированном компьютере, позднее чего по команде загружает эдак точно запускает программу-шпион Trojan.PWS.Dande. основополагающее назначение этой программы — воровство заданных клиентских приложений семейства «Системы электронного заказа», позволяющих разным лекарственным предприятиям эдак точно аптекам запрещать у поставщиков мед препараты. К подобным приложениям относятся специализированная форма «Аналит: Фармация 7.7» для платформы 1С, «Система электронного заказа» СЭЗ-2 изготовления фирме «Аптека-Холдинг», программа формирования заявок фирме «Российская Фармация», система электронного заказа лекарственной группы «Роста», программа «Катрен WinPrice» эдак точно некие другие. посреди собираемых заданных — познания об установленном на персональном персональном компьютере программном обеспечении, пароли учетных записей эдак точно т. д. Вся похищенная уведомление передается на сервер злоумышленников в зашифрованном виде. в случае в случае если интересующей вирусописателей инфы на зараженной машине закончить обнаруживается, троянец с поддержкой интегрированных модулей опрятно излечивает прежде зараженные им же же системные библиотеки эдак точно самоудаляется.
Исходя из того, точно троянец продолжает работу вряд на компьютерах, где-нибудь установлена одна из систем электронного заказа медикаментов, можно предположить, точно в бот-сети BackDoor.Dande состоят в основном рабочие станции, принадлежащие аптекам эдак точно лекарственным компаниям. На начин июля 2012 лета этаких насчитывается 2857, причем 2788 (98,5%) из их расположено на территории России, другие располагаются в прочих государствах. Распределение ботнета по городкам РФ показано на предложенной далее иллюстрации:
На представленном далее графике показывается динамика роста бот-сети за 1-ое полугодие 2012 года:
В истинное момент рост ботнета продолжается, впрочем в силу специфики самого бэкдора количество регистраций новеньких инфицированных компов в паутине враз закончить превосходит 1–2 в сутки. Эти цифры имеют все шансы в цельном доказывать о том, точно представители лекарственной промышленности мало нешуточно относятся к задачам информационной безопасности эдак точно брезгуют внедрением современных денег антивирусной защиты. В частности, антивирусные программы Dr.Web удачно детектируют эдак точно удаляют это вредное приложение, излечивая зараженные файловые объекты эдак точно составляющие операционной системы. потому для юзеров продукции фирме «Доктор Веб» троянец BackDoor.Dande закончить воображает нешуточной опасности.
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Вирусные новости
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости
