Методы обнаружения вирусов

17 мая 2017 года

В пятницу 12 мая тьма-тьмущая компов по всему миру оказались заражены небезопасным червем, популярным под именованием WannaCry. эксперты фирмы «Доктор Веб» кропотливо учат данную вредоносную программу, впрочем уже на данный момент готовы раздробиться некими итогами собственного исследования.

Вредоносная программа, популярная под наименованием WannaCry, воображает собой сетевого червя, могущего заражать компы под управлением Microsoft Windows без участия пользователя. Антивирус Dr.Web детектирует баста составляющие глиста под именованием Trojan.Encoder.11432. Его распространение началось приближенно в 10 утра 12 мая 2017 года. глист штурмует баста компы в локальной сети, а уж уж уж уж тоже удаленные интернет-узлы со случайными IP-адресами, стараясь учредить сплетение с портом 445. Обосновавшись на инфицированном компьютере, глист собственноручно старается заразить иные доступные автомобиля — данным так будто разъясняется массовость эпидемии. Сама вредная программа имеет маленько компонентов, троянец-энкодер — едва-лишь раз из них.

Сетевой червь

Сразу в последствии пуска глист старается отослать запрос на удаленный сервер, домен коего хранится в троянце. коли отголосок на данный запрос получен, глист завершает свою работу. кое-какие СМИ сообщали, будто эпидемию WannaCry получилось остановить, зарегистрировав данный домен: к моменту основания распространения троянца он был волен якобы в следствии оплошки злоумышленников. На самом деле разбор троянца показывает, будто он полно изготовлять так будто распространяться на компьютерах, имеющих доступ к локальной сети, впрочем перестать имеющих включения к Интернету. отчего об остановке эпидемии растабарывать покамест преждевременно.

После пуска троянец индексирует себя в качестве системной службы с именованием mssecsvc2.0. При данном глист чувствителен к характеристикам командной строки: коли указан какой-нибудь аргумент, он старается настроить машинальный перезапуск службы в случае появления ошибки. сквозь 24 часа в последствии собственного пуска в качестве системной службы глист механично завершает работу.

Успешно стартовав на инфицированной машине, глист начинает опрашивать узлы, доступные в локальной паутины зараженной машины, а уж уж уж уж тоже компы в вебе со случайными IP-адресами. Он старается объединиться с портом 445. коли ему же получилось учредить соединение, глист решает попытку заразить эти компы с пользованием уязвимости в протоколе SMB.

Дроппер

Дроппер — это компонент, предназначенный для инсталляции в операционную систему вредного исполняемого файла. Дроппер глиста WannaCry содержит огромный защищенный паролем ZIP-архив, в котором хранится зашифрованный файл с троянцем-энкодером, обои Рабочего стола Windows с требованиями злоумышленников, файл с адресами onion-серверов так будто именованием кошелька для приема биткойнов, а уж уж уж уж тоже картотека с программами для работы в паутины Tor. Дроппер запускается из тела червя, монтируется в систему, в последствии чего старается забросить свою копию в пейзаже системной службы со случайным именем. коли это перестать удается, он выполняется, как-либо обыкновенная программа. основополагающая миссия дроппера — оставить на диск содержимое архива, а уж уж уж уж тоже дешифрировать так будто забросить шифровальщик.

Троянец-шифровальщик

Энкодер Trojan.Encoder.11432 шифрует файлы со случайным ключом. В файле сберегаются знания о длине зашифрованного ключа, сам зашифрованный ключ, сообщение о типе шифрования так будто размере начального файла. В процессе шифрования формируется файл f.wnry — в нем сберегается копия файлов, коие троянец помножать дешифрировать в тестовом режиме.

Троянец содержит в для себя авторский декодер, какой удаляет на зараженном персональном персональном компьютере теневые клоны так будто отключает функцию восстановления системы. Он обменивает обои Рабочего стола Windows на графический файл надлежащего содержания:

screenshot

Затем он распаковывает приложения для работы с паутиной Tor (или скачивает них из сети) так будто соединяется с onion-серверами, адреса коих указаны в изменения троянца. Оттуда он приобретает имя кошелька для приема криптовалюты Bitcoin так будто записывает его в конфигурацию. Для обмена заданными с onion-серверами Trojan.Encoder.11432 применяет личный протокол.

Декодер разрешает дешифрировать маленько тестовых файлов, копия коих хранится в файле f.wnry. частный ключ, нужный для них расшифровки, хранится в одном из составляющую вредной программы. отчего них можно дешифрировать в том числе без употребления самого троянца. впрочем расшифровка тестовых так будто каких бы то ни было других файлов производится с пользованием всевозможных ключей. Следовательно, никаких гарантий удачного восстановления покоробленных шифровальщиком заданных в том числе в случае оплаты выкупа перестать существует.

К сожалению, в реальное минута расшифровка покоробленных Trojan.Encoder.11432 файлов перестать видется возможной.

Признаки заражения

Признаками инфецирования глистом WannaCry являются:

  • наличие системной службы "mssecsvc2.0" (видимое имя - "Microsoft Security Center (2.0) Service");
  • наличие файла троянца-энкодера C:WINDOWS asksche.exe, прошлый экземпляр вредной программы хранится в файле C:WINDOWSqeriuwjhrf.

Что изготовлять в случае заражения

  • во избежание распространения инфекции отделить зараженные автомобиля так будто ПК с ценными заданными от компьютерных сетей;
  • сохранить резервную копию инфы на еденичные носители, коие в последствии этого обязаны храниться отключенными от каких бы то ни было компьютеров.

С подготовительным техническим описанием глиста можно ознакомиться по ссылке.

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web