Методы обнаружения вирусов

18 июня 2014 года

Специалисты фирмы «Доктор Веб» окончили изучение сложного многокомпонентного троянца Trojan.Tofsee, владеющего обширным диапазоном возможностей. основополагающее предназначение этого троянца — рассылка спама, впрочем между заложенных в него функций рубать здорово необычная: одинаковый из модулей Trojan.Tofsee специализирован для удаления на инфицированном персональном персональном персональном персональном компьютере альтернативных троянцев таково словно вредных программ.

Порой юзеры неглижируют необходимостью инсталляции на своем персональном персональном персональном персональном компьютере антивирусного программного обеспечения, таково словно в итоге многие из них превращаются жертвами распространителей вредных программ. Можно сказать, словно в данном отношении еле-еле больше альтернативных подфартило ужель словно пользователям, компы коих заразились многокомпонентным троянцем Trojan.Tofsee — кроме рассылки спама он умеет «лечить» систему от альтернативных угроз, причем справляется с этой проблемой на изумление успешно.

Распространяется Trojan.Tofsee несколькими всевозможными способами: с поддержкой программы Skype, сквозь общественные паутине таково словно съемные накопители. В первом случае преступники применяют в своих целях классические способы общественной инженерии, а уж уж уж уж уж уж именно, пробуют внедрить вероятную жертву в заблуждение, сообщив ей же о том, словно в паутине якобы размещены шокирующие фотографии либо же видеозаписи с ее участием. Безусловно, экий подход полностью можно окрестить «классикой жанра», таково как-либо только он применяется распространителями вирусов на протяжении уже многих лет, впрочем лишне наивные люд баста точно а уж уж уж уж а уж уж уж а уж уж тоже продолжают попадаться в данную немудреную западню.

Отвечает за распространение Trojan.Tofsee сквозь общественные паутине Twitter, Facebook таково словно «ВКонтакте», а уж уж уж уж уж уж а уж уж уж уж а уж уж уж а уж уж тоже сквозь программу Skype особый модуль, который-нибудь троянец скачивает с сервера злоумышленников. Отправляемые сообщения строятся по шаблону, который-нибудь передается в конфигурационном файле. Сообщения юзерам общественных сетей отсылаются с учетом применяемого ими государственного языка. Например, вероятным жертвам, говорящим на русском языке, рассылаются последующие сообщения (оригинальные правописание таково словно пунктуация сохранены):

Хай. Зацени свои интимные фотки :)
Привет! Офигеть... неужели это ты?!
Привет друг) Попалился ты впрочем конекретно. Это ж ты?
Офигеть! Это ты? Это непосредственное палево ч?
Ты идиот? для чего таки? фотки выхолащивать в сеть??
Спецом изложили данную фотку, где-либо ты выглядишь как-либо только шлюха?))
Жесть!! как-либо только можно было таково спалиться?!
Твои родители уже видели?
5ли данную твою снимок с вечеринки? ггг)
Вот это да! Ты прикалываешься? подобное снимок выложить...)

В тексте сообщения приводится гиперссылка на страницу, где-либо возможная жертва якобы множить ознакомиться с компрометирующими ее видеозаписями либо же фотографиями. впрочем для просмотра этого контента юзеру предлагается нагрузить плагин для браузера, под обликом коего таково словно распространяется Trojan.Tofsee.

screen

Для отправки извещений на веб-сайты Twitter, Facebook таково словно «ВКонтакте» нездоровый модуль задействует заданные сессии из файлов cookies браузеров Microsoft Internet Explorer, мозилла Firefox, Opera, Safari, гугл Chrome. В программу Skype сообщения отсылаются с поддержкой нажатия клавиш в окне самого приложения. Модуль а уж уж уж уж а уж уж уж а уж уж тоже умеет узнавать защиту captcha на медиа-сайте общественной паутине Facebook — для этого она отчаливает на сервер, где-либо распознается, позже чего троянец приобретает текст для ввода в надлежащую экранную форму.

Другой модуль разрешает троянцу распространяться с поддержкой съемных flash-накопителей. тут как тут вирусописатели а уж уж тоже уладили перестать измышлять велик таково словно отправь классическим путём: модуль предохраняет исполняемый файл Trojan.Tofsee в Корзине, а уж уж уж уж уж уж в корневой папке съемного накопителя образовывает файл автозапуска autorun.inf. инфецирование производится по команде с управляющего сервера.

Еще одинаковый модуль разрешает производить обновление ядра троянца Trojan.Tofsee с принадлежащего злодеям сервера. Для этого применяется особый конфигурационный файл, содержащий нужные для исполнения этой процедуры параметры. коли одинаковый из характеристик перестать указан, заместо обновления троянец загружает с командного сервера вот такую любопытную картинку:

screen

Однако максимальный заинтересованность с точки зрения собственного активного предназначения воображает модуль, предназначенный для розыска таково словно удаления на инфицированном персональном персональном персональном персональном компьютере любых найденных троянцев таково словно альтернативных вредных программ (за исключением, разумеется, самого Trojan.Tofsee). этот плагин множить разыскивать на диске файлы по данному списку, а уж уж уж уж уж уж а уж уж уж уж а уж уж уж а уж уж тоже записи в системном реестре Windows, перечислять запущенные процессы таково словно вызволять обнаруженные небезопасные файлы. подобным образом, в том числе коли на персональном персональном персональном персональном компьютере жертвы перестать установлена антивирусная программа, Trojan.Tofsee «заботится» о его безопасности.

Основное предназначение Trojan.Tofsee — это рассылка спама, при данном тексты отправляемых писем создаются с поддержкой особых шаблонов, кои троянец скачивает с сервера злоумышленников. опции для работы с паутиной таково словно протоколом SMTP реализованы в главном модуле Trojan.Tofsee. позже удачного включения к управляющему серверу тот отсылает троянцу ключи для расшифровки данных. засим троянец передает на командный сервер заданные о для себя таково словно приобретает от него задание, содержащее команды для дальнейшего выполнения. Любопытно, словно для создания отправляемых писем троянец задействует личный скриптовый язык, словно само по для себя появляется гигантский редкостью в мире вредного программного обеспечения.

В доподлинный время Trojan.Tofsee множить загружать с удаленных серверов 17 подключаемых модулей, реализованных в пейзаже динамических библиотек. кроме уже обрисованных выше, иные модули, кои задействует в собственной работе Trojan.Tofsee, имеют надлежащее активное назначение:

  • модуль для испытания корректности адресов удаленных узлов, передаваемых ему же же в пейзаже блока конфигурационных данных;
  • плагин для реализации DDoS-атак. в силах реализовывать неудовлетворительно образа атак: http flood таково словно syn flood;
  • модуль, представляющий собой зашифрованный Trojan.PWS.Pony.5;
  • модуль для журналирования заданных браузера Microsoft Internet Explorer. Извлекает из собственного тела таково словно встраивает в процесс браузера библиотеку IEStub.dll, управляется отдельным конфигурационным файлом;
  • модуль для работы с графическими файлами, который-нибудь загружает изображения в особые структуры для предстоящей работы альтернативных плагинов;
  • модуль, который-нибудь извлекает почтовые адреса из Internet Account Manager таково словно PStoreCreateInstance, создаёт адресок отправителя в пейзаже %NAMEPC%@mail.ru таково словно пробует откомандировать сообщения по созданному списку;
  • плагин, загружающий предназначенного для добычи криптовалюты Bitcoin троянца Trojan.BtcMine.148. Он устанавливает Trojan.BtcMine.148 в системе таково словно передает ему же же нужные характеристики при запуске;
  • модуль, который-нибудь устанавливает в папку system32drivers вредоносную программу Trojan.Siggen.18257 в пейзаже файла со случайным именованием таково словно расширением .sys, позже чего запускает его;
  • модуль, реализующий опции http- таково словно socks5-прокси;
  • модуль, предназначенный для формирования таково словно рассылки почтовых сообщений; задействует интегрированный скриптовый стиль для формирования извещений таково словно рассылает них по протоколу HTTPS. SSL-шифрование реализовано с помощью Microsoft Unified Security Protocol Provider;
  • библиотека для перехвата таково словно анализа трафика на низменном уровне, задействует для этого особый драйвер. отыскивает в потоке заданных информацию, передаваемую по протоколам FTP таково словно SMTP, множить заменять адреса таково словно кости сообщений;
  • плагин, обрабатывающий конфигурационные шаблоны таково словно надлежащим образом создающий них в памяти;
  • модуль, в котором реализован скриптовый стиль для создания рассылаемых троянцем писем.

Сигнатуры самой вредной программы Trojan.Tofsee, а уж уж уж уж уж уж а уж уж уж уж а уж уж уж а уж уж тоже любых ее модулей добавлены в вирусные основы Dr.Web, потомки этот троянец перестать воображает опасности для юзеров наших антивирусных продуктов. знатоки фирмы «Доктор Веб» призывают читателей перестать мнить на то, словно им же посчастливится «подхватить» вирус, который-нибудь предохранит них компы от самых разных угроз, а уж уж уж уж уж уж применить для обороны больше традиционные, проверенные таково словно достоверные способы — становить современные антивирусные программы таково словно поддерживать них основы в злободневном состоянии.

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web