Методы обнаружения вирусов

17 мая 2017 года

В пятницу 12 мая тьма-тьмущая компов по всему миру оказались заражены небезопасным червем, популярным под именованием WannaCry. эксперты фирмы «Доктор Веб» кропотливо учат данную вредоносную программу, впрочем уже на данный момент готовы раздробиться некими итогами собственного исследования.

Вредоносная программа, популярная под наименованием WannaCry, воображает собой сетевого червя, могущего заражать компы под управлением Microsoft Windows без участия пользователя. Антивирус Dr.Web детектирует баста составляющие глиста под именованием Trojan.Encoder.11432. Его распространение началось приближенно в 10 утра 12 мая 2017 года. глист штурмует баста компы в локальной сети, а уж уж уж уж тоже удаленные интернет-узлы со случайными IP-адресами, стараясь учредить сплетение с портом 445. Обосновавшись на инфицированном компьютере, глист собственноручно старается заразить иные доступные автомобиля — данным так будто разъясняется массовость эпидемии. Сама вредная программа имеет маленько компонентов, троянец-энкодер — едва-лишь раз из них.

Сетевой червь

Сразу в последствии пуска глист старается отослать запрос на удаленный сервер, домен коего хранится в троянце. коли отголосок на данный запрос получен, глист завершает свою работу. кое-какие СМИ сообщали, будто эпидемию WannaCry получилось остановить, зарегистрировав данный домен: к моменту основания распространения троянца он был волен якобы в следствии оплошки злоумышленников. На самом деле разбор троянца показывает, будто он полно изготовлять так будто распространяться на компьютерах, имеющих доступ к локальной сети, впрочем перестать имеющих включения к Интернету. отчего об остановке эпидемии растабарывать покамест преждевременно.

После пуска троянец индексирует себя в качестве системной службы с именованием mssecsvc2.0. При данном глист чувствителен к характеристикам командной строки: коли указан какой-нибудь аргумент, он старается настроить машинальный перезапуск службы в случае появления ошибки. сквозь 24 часа в последствии собственного пуска в качестве системной службы глист механично завершает работу.

Успешно стартовав на инфицированной машине, глист начинает опрашивать узлы, доступные в локальной паутины зараженной машины, а уж уж уж уж тоже компы в вебе со случайными IP-адресами. Он старается объединиться с портом 445. коли ему же получилось учредить соединение, глист решает попытку заразить эти компы с пользованием уязвимости в протоколе SMB.

Дроппер

Дроппер — это компонент, предназначенный для инсталляции в операционную систему вредного исполняемого файла. Дроппер глиста WannaCry содержит огромный защищенный паролем ZIP-архив, в котором хранится зашифрованный файл с троянцем-энкодером, обои Рабочего стола Windows с требованиями злоумышленников, файл с адресами onion-серверов так будто именованием кошелька для приема биткойнов, а уж уж уж уж тоже картотека с программами для работы в паутины Tor. Дроппер запускается из тела червя, монтируется в систему, в последствии чего старается забросить свою копию в пейзаже системной службы со случайным именем. коли это перестать удается, он выполняется, как-либо обыкновенная программа. основополагающая миссия дроппера — оставить на диск содержимое архива, а уж уж уж уж тоже дешифрировать так будто забросить шифровальщик.

Троянец-шифровальщик

Энкодер Trojan.Encoder.11432 шифрует файлы со случайным ключом. В файле сберегаются знания о длине зашифрованного ключа, сам зашифрованный ключ, сообщение о типе шифрования так будто размере начального файла. В процессе шифрования формируется файл f.wnry — в нем сберегается копия файлов, коие троянец помножать дешифрировать в тестовом режиме.

Троянец содержит в для себя авторский декодер, какой удаляет на зараженном персональном персональном компьютере теневые клоны так будто отключает функцию восстановления системы. Он обменивает обои Рабочего стола Windows на графический файл надлежащего содержания:

screenshot

Затем он распаковывает приложения для работы с паутиной Tor (или скачивает них из сети) так будто соединяется с onion-серверами, адреса коих указаны в изменения троянца. Оттуда он приобретает имя кошелька для приема криптовалюты Bitcoin так будто записывает его в конфигурацию. Для обмена заданными с onion-серверами Trojan.Encoder.11432 применяет личный протокол.

Декодер разрешает дешифрировать маленько тестовых файлов, копия коих хранится в файле f.wnry. частный ключ, нужный для них расшифровки, хранится в одном из составляющую вредной программы. отчего них можно дешифрировать в том числе без употребления самого троянца. впрочем расшифровка тестовых так будто каких бы то ни было других файлов производится с пользованием всевозможных ключей. Следовательно, никаких гарантий удачного восстановления покоробленных шифровальщиком заданных в том числе в случае оплаты выкупа перестать существует.

К сожалению, в реальное минута расшифровка покоробленных Trojan.Encoder.11432 файлов перестать видется возможной.

Признаки заражения

Признаками инфецирования глистом WannaCry являются:

  • наличие системной службы "mssecsvc2.0" (видимое имя - "Microsoft Security Center (2.0) Service");
  • наличие файла троянца-энкодера C:WINDOWS asksche.exe, прошлый экземпляр вредной программы хранится в файле C:WINDOWSqeriuwjhrf.

Что изготовлять в случае заражения

  • во избежание распространения инфекции отделить зараженные автомобиля так будто ПК с ценными заданными от компьютерных сетей;
  • сохранить резервную копию инфы на еденичные носители, коие в последствии этого обязаны храниться отключенными от каких бы то ни было компьютеров.

С подготовительным техническим описанием глиста можно ознакомиться по ссылке.

НОВОЕ НА САЙТЕ

14 декабря 2017 года

Компания «Доктор Веб» информирует об обновлении антируткитного модуля Dr.Web Anti-rootkit API (11.1.14.201712110) так что модуля самозащиты Dr.Web SelfPROtect (11.01.12.12010) в ряде продуктов Dr.Web. Обновление связано с исправлением выявленных ошибок.

Изменения в антируткитном модуле для любых перечислен... Антивирус Dr.Web

14 декабря 2017 года

Компания «Доктор Веб» информирует о выпуске интернет-сервиса Dr.Web AV-Desk 10.1. В освеженную версию был добавлен весь шеренга усовершенствований, а уж уж уж выявленные ошибки были исправлены.

Улучшения в серверной части Dr.Web AV-Desk 10.1:

  • добавлена вероятность розыска по учетной записи юзер... Антивирус Dr.Web

    14 декабря 2017 года

    Компания «Доктор Веб» провела посреди гостей собственного интернет-сайта опрос, посвященный информационной безопасности в организациях. В конкретно в данном материале мы подводим бесповоротные итоги выборочного выборочного таково чисто знакомим наших читателей с приобретенными результатами.

    Примерно четвер... Горячая лента угроз и предупреждений о вирусной опасности!

    11 декабря 2017 лета

    Компания «Доктор Веб» информирует о выпуске Dr.Web версии 11.0.2 для macOS. В продукт добавлена помощь macOS High Sierra (10.13) так что новейшие активные возможности, а уж выявленные ошибки были исправлены.

    Улучшения в продукте:

    • поскольку macOS High Sierra требует у юзеров лицен... Антивирус Dr.Web

      11 декабря 2017 года

      Компания «Доктор Веб» информирует об обновлении продукта Dr.Web Light для macOS перед началом версии 11.0.1. Обновление связано с исправлением выявленных ошибок так будто добавлением справочной документации на нескольких языках.

      Устранена первопричина аварийного окончания работы Dr.Web Light для macOS, которое могло выходить ... Антивирус Dr.Web