Методы обнаружения вирусов

18 июня 2014 года

Специалисты фирмы «Доктор Веб» окончили изучение сложного многокомпонентного троянца Trojan.Tofsee, владеющего обширным диапазоном возможностей. основополагающее предназначение этого троянца — рассылка спама, впрочем между заложенных в него функций рубать здорово необычная: одинаковый из модулей Trojan.Tofsee специализирован для удаления на инфицированном персональном персональном персональном персональном компьютере альтернативных троянцев таково словно вредных программ.

Порой юзеры неглижируют необходимостью инсталляции на своем персональном персональном персональном персональном компьютере антивирусного программного обеспечения, таково словно в итоге многие из них превращаются жертвами распространителей вредных программ. Можно сказать, словно в данном отношении еле-еле больше альтернативных подфартило ужель словно пользователям, компы коих заразились многокомпонентным троянцем Trojan.Tofsee — кроме рассылки спама он умеет «лечить» систему от альтернативных угроз, причем справляется с этой проблемой на изумление успешно.

Распространяется Trojan.Tofsee несколькими всевозможными способами: с поддержкой программы Skype, сквозь общественные паутине таково словно съемные накопители. В первом случае преступники применяют в своих целях классические способы общественной инженерии, а уж уж уж уж уж уж именно, пробуют внедрить вероятную жертву в заблуждение, сообщив ей же о том, словно в паутине якобы размещены шокирующие фотографии либо же видеозаписи с ее участием. Безусловно, экий подход полностью можно окрестить «классикой жанра», таково как-либо только он применяется распространителями вирусов на протяжении уже многих лет, впрочем лишне наивные люд баста точно а уж уж уж уж а уж уж уж а уж уж тоже продолжают попадаться в данную немудреную западню.

Отвечает за распространение Trojan.Tofsee сквозь общественные паутине Twitter, Facebook таково словно «ВКонтакте», а уж уж уж уж уж уж а уж уж уж уж а уж уж уж а уж уж тоже сквозь программу Skype особый модуль, который-нибудь троянец скачивает с сервера злоумышленников. Отправляемые сообщения строятся по шаблону, который-нибудь передается в конфигурационном файле. Сообщения юзерам общественных сетей отсылаются с учетом применяемого ими государственного языка. Например, вероятным жертвам, говорящим на русском языке, рассылаются последующие сообщения (оригинальные правописание таково словно пунктуация сохранены):

Хай. Зацени свои интимные фотки :)
Привет! Офигеть... неужели это ты?!
Привет друг) Попалился ты впрочем конекретно. Это ж ты?
Офигеть! Это ты? Это непосредственное палево ч?
Ты идиот? для чего таки? фотки выхолащивать в сеть??
Спецом изложили данную фотку, где-либо ты выглядишь как-либо только шлюха?))
Жесть!! как-либо только можно было таково спалиться?!
Твои родители уже видели?
5ли данную твою снимок с вечеринки? ггг)
Вот это да! Ты прикалываешься? подобное снимок выложить...)

В тексте сообщения приводится гиперссылка на страницу, где-либо возможная жертва якобы множить ознакомиться с компрометирующими ее видеозаписями либо же фотографиями. впрочем для просмотра этого контента юзеру предлагается нагрузить плагин для браузера, под обликом коего таково словно распространяется Trojan.Tofsee.

screen

Для отправки извещений на веб-сайты Twitter, Facebook таково словно «ВКонтакте» нездоровый модуль задействует заданные сессии из файлов cookies браузеров Microsoft Internet Explorer, мозилла Firefox, Opera, Safari, гугл Chrome. В программу Skype сообщения отсылаются с поддержкой нажатия клавиш в окне самого приложения. Модуль а уж уж уж уж а уж уж уж а уж уж тоже умеет узнавать защиту captcha на медиа-сайте общественной паутине Facebook — для этого она отчаливает на сервер, где-либо распознается, позже чего троянец приобретает текст для ввода в надлежащую экранную форму.

Другой модуль разрешает троянцу распространяться с поддержкой съемных flash-накопителей. тут как тут вирусописатели а уж уж тоже уладили перестать измышлять велик таково словно отправь классическим путём: модуль предохраняет исполняемый файл Trojan.Tofsee в Корзине, а уж уж уж уж уж уж в корневой папке съемного накопителя образовывает файл автозапуска autorun.inf. инфецирование производится по команде с управляющего сервера.

Еще одинаковый модуль разрешает производить обновление ядра троянца Trojan.Tofsee с принадлежащего злодеям сервера. Для этого применяется особый конфигурационный файл, содержащий нужные для исполнения этой процедуры параметры. коли одинаковый из характеристик перестать указан, заместо обновления троянец загружает с командного сервера вот такую любопытную картинку:

screen

Однако максимальный заинтересованность с точки зрения собственного активного предназначения воображает модуль, предназначенный для розыска таково словно удаления на инфицированном персональном персональном персональном персональном компьютере любых найденных троянцев таково словно альтернативных вредных программ (за исключением, разумеется, самого Trojan.Tofsee). этот плагин множить разыскивать на диске файлы по данному списку, а уж уж уж уж уж уж а уж уж уж уж а уж уж уж а уж уж тоже записи в системном реестре Windows, перечислять запущенные процессы таково словно вызволять обнаруженные небезопасные файлы. подобным образом, в том числе коли на персональном персональном персональном персональном компьютере жертвы перестать установлена антивирусная программа, Trojan.Tofsee «заботится» о его безопасности.

Основное предназначение Trojan.Tofsee — это рассылка спама, при данном тексты отправляемых писем создаются с поддержкой особых шаблонов, кои троянец скачивает с сервера злоумышленников. опции для работы с паутиной таково словно протоколом SMTP реализованы в главном модуле Trojan.Tofsee. позже удачного включения к управляющему серверу тот отсылает троянцу ключи для расшифровки данных. засим троянец передает на командный сервер заданные о для себя таково словно приобретает от него задание, содержащее команды для дальнейшего выполнения. Любопытно, словно для создания отправляемых писем троянец задействует личный скриптовый язык, словно само по для себя появляется гигантский редкостью в мире вредного программного обеспечения.

В доподлинный время Trojan.Tofsee множить загружать с удаленных серверов 17 подключаемых модулей, реализованных в пейзаже динамических библиотек. кроме уже обрисованных выше, иные модули, кои задействует в собственной работе Trojan.Tofsee, имеют надлежащее активное назначение:

  • модуль для испытания корректности адресов удаленных узлов, передаваемых ему же же в пейзаже блока конфигурационных данных;
  • плагин для реализации DDoS-атак. в силах реализовывать неудовлетворительно образа атак: http flood таково словно syn flood;
  • модуль, представляющий собой зашифрованный Trojan.PWS.Pony.5;
  • модуль для журналирования заданных браузера Microsoft Internet Explorer. Извлекает из собственного тела таково словно встраивает в процесс браузера библиотеку IEStub.dll, управляется отдельным конфигурационным файлом;
  • модуль для работы с графическими файлами, который-нибудь загружает изображения в особые структуры для предстоящей работы альтернативных плагинов;
  • модуль, который-нибудь извлекает почтовые адреса из Internet Account Manager таково словно PStoreCreateInstance, создаёт адресок отправителя в пейзаже %NAMEPC%@mail.ru таково словно пробует откомандировать сообщения по созданному списку;
  • плагин, загружающий предназначенного для добычи криптовалюты Bitcoin троянца Trojan.BtcMine.148. Он устанавливает Trojan.BtcMine.148 в системе таково словно передает ему же же нужные характеристики при запуске;
  • модуль, который-нибудь устанавливает в папку system32drivers вредоносную программу Trojan.Siggen.18257 в пейзаже файла со случайным именованием таково словно расширением .sys, позже чего запускает его;
  • модуль, реализующий опции http- таково словно socks5-прокси;
  • модуль, предназначенный для формирования таково словно рассылки почтовых сообщений; задействует интегрированный скриптовый стиль для формирования извещений таково словно рассылает них по протоколу HTTPS. SSL-шифрование реализовано с помощью Microsoft Unified Security Protocol Provider;
  • библиотека для перехвата таково словно анализа трафика на низменном уровне, задействует для этого особый драйвер. отыскивает в потоке заданных информацию, передаваемую по протоколам FTP таково словно SMTP, множить заменять адреса таково словно кости сообщений;
  • плагин, обрабатывающий конфигурационные шаблоны таково словно надлежащим образом создающий них в памяти;
  • модуль, в котором реализован скриптовый стиль для создания рассылаемых троянцем писем.

Сигнатуры самой вредной программы Trojan.Tofsee, а уж уж уж уж уж уж а уж уж уж уж а уж уж уж а уж уж тоже любых ее модулей добавлены в вирусные основы Dr.Web, потомки этот троянец перестать воображает опасности для юзеров наших антивирусных продуктов. знатоки фирмы «Доктор Веб» призывают читателей перестать мнить на то, словно им же посчастливится «подхватить» вирус, который-нибудь предохранит них компы от самых разных угроз, а уж уж уж уж уж уж применить для обороны больше традиционные, проверенные таково словно достоверные способы — становить современные антивирусные программы таково словно поддерживать них основы в злободневном состоянии.

НОВОЕ НА САЙТЕ

15 августа 2018 года

Компания «Доктор Веб» информирует об обновлении антируткитного модуля Dr.Web Anti-rootkit API (11.5.3.201807181) так что сканирующего обслуживания Dr.Web Scanning Engine (11.5.3.201807040) во любых перечисленных продуктах, управляющего обслуживания Dr.Web Control Service (11.5.8.08090), модуля Dr.Web Thunderstorm Cloud Client SDK (11.5.1.06070), м... Антивирус Dr.Web

15 августа 2018 года

Компания «Доктор Веб» информирует об обновлении модулей Dr.Web Enterprise Agent for Windows setup (11.5.2.08100) так что Dr.Web ES Service (11.5.4.08101) в составе Dr.Web Enterprise Security Suite версии 11.0. Обновление связано с исправлением выявленных ошибок так что увеличением удобства работы для пользователей.

В оба моду... Антивирус Dr.Web

13 августа 2018 года

Компания «Доктор Веб» информирует об обновлении серверной части комплекса Dr.Web Enterprise Security Suite 11.0 (REL-1100-2018007270). Обновление связано с исправлением выявленных ошибок.

Изменения:

  • устранена проблема, приводившая к неработоспособности Сервера Dr.Web так что Прокси-сервера Dr.Web на персональны... Антивирус Dr.Web

    13 августа 2018 возраст

    Компания «Доктор Веб» информирует об обновлении Мобильного центра управления Dr.Web для Android перед началом версии 11.0.1. Обновление связано с исправлением выявленной ошибки.

    В рамках обновления была устранена проблема, в следствии коей перестать отчаливали push-уведомления с Сервера перед началом... Антивирус Dr.Web

    7 августа 2018 года

    Троянцы для Microsoft Windows, подменяющие в буфере обмена отель кошельков при операциях с электронными денежками примерно чисто криптовалютами, обширно всераспространены примерно чисто издавна популярны как же юзерам компьютеров, примерно так чисто специалистам по информационной безопасности. В августе 2018 лета вирусные аналитики «... Горячая лента угроз и предупреждений о вирусной опасности!