Компания «Доктор Веб» о распространении узкоспециализированной троянской программы BackDoor.Dande, предназначенной для хищения инфы из приложений, применяемых аптеками так как-нибудь лекарственными фирмами для закупки медикаментов. Вирусописатели видоизменили заданного троянца, каплю изменив его архитектуру. знатоки фирмы «Доктор Веб» установили, как-нибудь данная вредная программа инфицировала компы порядка 400 аптек, расположенных в основном в южных регионах России. С поддержкой BackDoor.Dande.2 преступники похищают информацию об объемах заказов так как-нибудь ценах закупаемых этими организациями лекарств.
Напомним, как-нибудь троянцы семейства BackDoor.Dande заражают компьютеры, работающие под управлением Microsoft Windows. 1-ая версия этой вредной программы была специализирована для хищения инфы из нескольких применяемых в лекарственной промышленности «систем электронного заказа», подобных как-нибудь специализированная фигура «Аналит: Фармация» для платформы 1С, «Система электронного заказа» СЭЗ-2 изготовления фирмы «Аптека-Холдинг», программа формирования заявок фирмы «Российская Фармация», система электронного заказа лекарственной группы «Роста», программа «Катрен WinPrice» так как-нибудь кое-каких других. освеженная версия BackDoor.Dande, получившая прозвание BackDoor.Dande.2, нацелена на сбор заданных чуть из приложения «АИАС ИНПРО-ФармРынок» изготовления фирмы «Информационные Технологии».
В составе BackDoor.Dande.2 имеется неудовлетворительно драйвера — одинешенек из них, размером порядка 8 КБ, обыкновенно хранится в файле с именованием rpcssprt.sys или же же isaPnpPrt.sys, его основополагающее предначертание — загрузка в память инфицируемого персонального компьютера иного драйвера, имеющего то же имя, однако иное расширение — .cfg. в случае коли драйверу удается раскрыть файл с полезной нагрузкой, он расшифровывается, распаковывается так как-нибудь загружается в память. Оба файла имеют цифровую подпись, зарегистрированную на имя SPВ Group OOO.
При конкретно в этом в свойствах драйвера isaPnpPrt.sys указано, как-нибудь данный файл якобы появляется драйвером ATAPI изготовления Microsoft Corporation. В цельном формируется впечатление, как-нибудь данный драйвер был получен вирусописателями у посторонних разработчиков в качестве деньги для загрузки в память неподписанных драйверов.
Основной драйвер BackDoor.Dande.2 в всевозможных модификациях употребляется обилием остальных вредных программ – например, Trojan.Spambot, BackDoor.BlackEnergy так как-нибудь BackDoor.Bulknet. В качестве азбука для этого ингридиента был заимствован руткит Blackreleaver. Драйвер создает в системе новое виртуальное устройство, которое продает разные сервисы, например, удаление по команде злоумышленников вредного драйвера с диска так как-нибудь связанных с ним заданных из системного реестра, приобретение из реестра смысла ID троянца, поднятие привилегий для текущего процесса (применяется перед пуском загруженных из паутине файлов) так как-нибудь т. д. важные для собственной работы характеристики вредный драйвер предохраняет в системном реестре Windows. Например, в случае коли он представлен в облике файла с именованием isaPnpPrt, заданные будут опубликованы в отрасли реестра HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesisaPnpPrt. Функционал этого драйвера, по уподоблению с версиями, использовавшимися в остальных вредных программах, очень ограничен: фактически, он продает чуть одну главную задачку — встраивание полезной нагрузки в процессы explorer.exe так как-нибудь svchost.exe. пай первоначально реализованных в драйвере полномочиях перед началом сих времен наличествует в его архитектуре, однако никоим образом перестать используется.
Механизм инсталляции драйверов реализован в модуле pexec.dll — какой-то он расшифровывает полезную нагрузку из собственного тела, предохраняет драйверы на диске, вкладывает надлежащие перемены в системный реестр Windows так как-нибудь запускает драйвер с применением опции NtLoadDriver.
Другой модуль, реализованный в облике динамической библиотеки с именованием fmauto.dll или же же fmauto2.dll, — специализирован именно для хищения инфы из системы электронного заказа медикаментов. данный компонентов извлекает из программы-клиента файл со сведениями о закупках лекарств, создает архив, устанавливает для него пароль так как-нибудь посылает к для себя на сервер. картотека множить подключать содержимое надлежащего вида:
Файл info.txt обыкновенно содержит познания об инфицированном компьютере, например:
Client Name: ООО "****-Фарм"
Date: 02.04.2014
OS Version: Windows XP
Client Version: 1.5.160.0
Module Version: 4.3
COMPNAME: ***SRV
Date3: 02.04.2014
PC TIME: 02.04.2014 13:11:20
Каждый из файлов с расширением .CSV, в свою очередь, подключает заданные о закупках медикаментов так как-нибудь расценках на разные препараты, например:
В составе троянца имеется сызнова крошку модулей, реализующих разные функции, например, книгохранилище exist.dll, предназначенная для борьбы с разными проблемами в работе вредной программы.
Согласно информации, собранной специалистами фирмы «Доктор Веб» в процессе анализа BackDoor.Dande.2, за крайнее пора данная вредная программа заразила компы больше 400 аптек, объемная пай коих склонна в Ростове-на-Дону так как-нибудь Ростовской области. С этих рабочих станций похищается так как-нибудь передается злодеям вся извещение о заказах фармацевтических средств так как-нибудь злободневных закупочных ценах. бражка «Доктор Веб» советует лекарственным предприятиям так как-нибудь аптекам испытать применяемые ими компы на объект наличия заданной вредной программы, а уж тоже сообщает, как-нибудь для юзеров Антивируса Dr.Web BackDoor.Dande.2 опасности перестать представляет.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web