Методы обнаружения вирусов

21 мая 2014 года

Среди вредных программ файловые вирусы видятся закончить делать излишне часто, оттого вирус Win32.Sector, с пользованием коего преступники сотворили широкий ботнет, воображает для знатоков по информационной безопасности специальный интерес. Аналитики фирмы «Доктор Веб» изучили данный вирус так что сумели оценить текущие масштабы заражения.

Вредоносная программа Win32.Sector знаменита с 2008 лета так что воображает собой непростой полиморфный вирус, талантливый распространяться независимо (без участия пользователей) так что заражать файловые объекты. Его основополагающая опция — загрузка из P2P-сети так что пуск на зараженной машине всевозможных исполняемых файлов. данная вредная программа способна интегрироваться в запущенные на инфицированном персональном персональном компьютере процессы, а уж уж а уж а также владеет способностью останавливать работу кое-каких антивирусных программ так что перекрыть доступ к веб-сайтам них разработчиков. Вирус возможно инфицировать файловые объекты на внутрисетевых дисках так что сменных носителях (где в процессе инфецирования формирует файл автозапуска autorun.inf), а уж уж а уж а также файлы, хранящиеся в общедоступных сетевых папках. На нынешний денек несомненно каплю трансформаций Win32.Sector, различающихся реализацией протокола обмена заданными в P2P-сети так что альтернативными структурными особенностями.

В силу собственной архитектуры Win32.Sector закончить делать имеет управляющих серверов, заместо этого он применяет сплетение с альтернативными ботами, работающими на зараженных машинах. Вирус определяет, имеет ли персональный компьютер наружный айпишник либо функционирует в сети, использующей NAT. далее собственного пуска на зараженном персональном персональном компьютере Win32.Sector применяет первоначальный перечень айпишников остальных ботов, с которыми устанавливает соединение. коли данная операция закончилась успешно, вирус делает последующие команды:

  1. Запрос файла изменения с URL для загрузки файлов (используется протокол UDP).
  2. Запрос плагинов (используется протокол TCP).
  3. Проверка наличия NAT – коли он отсутствует, бот приобретает неповторимый идентификационный номер ID (используется протокол UDP).
  4. Получение айпишники иной инфицированной автомобиля для инсталляции соединения (используется протокол UDP).

С пользованием команды 3 работающий на зараженной машине вирус начинает скорпулезно исполнять опции маршрутизатора: с ним объединяются остальные боты, деятельные в паутинах с NAT так что закончить делать имеющие наружного IP-адреса. Команда 4 разрешает приобрести перечень айпишников остальных инфицированных компьютеров. С поддержкой этих 2-ух команд эксперты фирмы «Доктор Веб» получили вероятность высчитать массовое численность инфицированных узлов ботнета так что оценить масштабы распространения угрозы.

По инфы на 20 мая 2014 года, в ботнете Win32.Sector насчитывается 1 197 739 удивительных ботов, из них 109 783 имеют наружный айпишник так что имеют точка шансы выдаваться в роли маршрутизаторов для остальных зараженных узлов. Динамику роста ботнета можно проследить на представленном далее графике:

Рост количества бот-сети Win32.Sector

В посредственном ежесуточно энергичность проявляет рядом 60 000 инфицированных компьютеров. График энергичности бот-сети Win32.Sector представлен ниже:

Среднесуточная энергичность ботнета Win32.Sector

С точки зрения географии распространения, более прости зараженных вирусом Win32.Sector компов расположено на территории Тайваня — 212 401. На втором месте по числу заражений расположен Египет (108 770), на третьем — Индия (106 249). В нашей родины закреплено 15 600 инфицированных компьютеров. Распространение файлового вируса Win32.Sector по странам мира показано на иллюстрации ниже:

В истинное час с пользованием бот-сети Win32.Sector распространяется каплю вредных программ:

  • Trojan.PWS.Stealer.1630 — программа для хищения паролей так что иной секретной информации;
  • Trojan.Mssmsgs.4048 — плагин для рассылки спама;
  • Trojan.DownLoader8.17844 — http- так что socks5-прокси;
  • Trojan.DownLoader10.49375 — http- так что socks5-прокси;
  • Trojan.Siggen6.11882 — DNS-туннель (53 udp порт), ТСР-туннель (80 порт);
  • Trojan.Rbruteтроянец для взлома Wi-Fi-роутеров;
  • Trojan.Proxy.26841— туннель для передачи http-трафика на данные узлы.

Все перечисленные угрозы, подключая сам файловый вирус Win32.Sector, благополучно детектируются так что удаляются антивирусными программами Dr.Web, оттого закончить делать воображают опасности для них пользователей. эксперты фирмы продолжают наблюдать за предстоящим развитием ситуации.

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web