Методы обнаружения вирусов

17 мая 2017 года

В пятницу 12 мая тьма-тьмущая компов по всему миру оказались заражены небезопасным червем, популярным под именованием WannaCry. эксперты фирмы «Доктор Веб» кропотливо учат данную вредоносную программу, впрочем уже на данный момент готовы раздробиться некими итогами собственного исследования.

Вредоносная программа, популярная под наименованием WannaCry, воображает собой сетевого червя, могущего заражать компы под управлением Microsoft Windows без участия пользователя. Антивирус Dr.Web детектирует баста составляющие глиста под именованием Trojan.Encoder.11432. Его распространение началось приближенно в 10 утра 12 мая 2017 года. глист штурмует баста компы в локальной сети, а уж уж уж уж тоже удаленные интернет-узлы со случайными IP-адресами, стараясь учредить сплетение с портом 445. Обосновавшись на инфицированном компьютере, глист собственноручно старается заразить иные доступные автомобиля — данным так будто разъясняется массовость эпидемии. Сама вредная программа имеет маленько компонентов, троянец-энкодер — едва-лишь раз из них.

Сетевой червь

Сразу в последствии пуска глист старается отослать запрос на удаленный сервер, домен коего хранится в троянце. коли отголосок на данный запрос получен, глист завершает свою работу. кое-какие СМИ сообщали, будто эпидемию WannaCry получилось остановить, зарегистрировав данный домен: к моменту основания распространения троянца он был волен якобы в следствии оплошки злоумышленников. На самом деле разбор троянца показывает, будто он полно изготовлять так будто распространяться на компьютерах, имеющих доступ к локальной сети, впрочем перестать имеющих включения к Интернету. отчего об остановке эпидемии растабарывать покамест преждевременно.

После пуска троянец индексирует себя в качестве системной службы с именованием mssecsvc2.0. При данном глист чувствителен к характеристикам командной строки: коли указан какой-нибудь аргумент, он старается настроить машинальный перезапуск службы в случае появления ошибки. сквозь 24 часа в последствии собственного пуска в качестве системной службы глист механично завершает работу.

Успешно стартовав на инфицированной машине, глист начинает опрашивать узлы, доступные в локальной паутины зараженной машины, а уж уж уж уж тоже компы в вебе со случайными IP-адресами. Он старается объединиться с портом 445. коли ему же получилось учредить соединение, глист решает попытку заразить эти компы с пользованием уязвимости в протоколе SMB.

Дроппер

Дроппер — это компонент, предназначенный для инсталляции в операционную систему вредного исполняемого файла. Дроппер глиста WannaCry содержит огромный защищенный паролем ZIP-архив, в котором хранится зашифрованный файл с троянцем-энкодером, обои Рабочего стола Windows с требованиями злоумышленников, файл с адресами onion-серверов так будто именованием кошелька для приема биткойнов, а уж уж уж уж тоже картотека с программами для работы в паутины Tor. Дроппер запускается из тела червя, монтируется в систему, в последствии чего старается забросить свою копию в пейзаже системной службы со случайным именем. коли это перестать удается, он выполняется, как-либо обыкновенная программа. основополагающая миссия дроппера — оставить на диск содержимое архива, а уж уж уж уж тоже дешифрировать так будто забросить шифровальщик.

Троянец-шифровальщик

Энкодер Trojan.Encoder.11432 шифрует файлы со случайным ключом. В файле сберегаются знания о длине зашифрованного ключа, сам зашифрованный ключ, сообщение о типе шифрования так будто размере начального файла. В процессе шифрования формируется файл f.wnry — в нем сберегается копия файлов, коие троянец помножать дешифрировать в тестовом режиме.

Троянец содержит в для себя авторский декодер, какой удаляет на зараженном персональном персональном компьютере теневые клоны так будто отключает функцию восстановления системы. Он обменивает обои Рабочего стола Windows на графический файл надлежащего содержания:

screenshot

Затем он распаковывает приложения для работы с паутиной Tor (или скачивает них из сети) так будто соединяется с onion-серверами, адреса коих указаны в изменения троянца. Оттуда он приобретает имя кошелька для приема криптовалюты Bitcoin так будто записывает его в конфигурацию. Для обмена заданными с onion-серверами Trojan.Encoder.11432 применяет личный протокол.

Декодер разрешает дешифрировать маленько тестовых файлов, копия коих хранится в файле f.wnry. частный ключ, нужный для них расшифровки, хранится в одном из составляющую вредной программы. отчего них можно дешифрировать в том числе без употребления самого троянца. впрочем расшифровка тестовых так будто каких бы то ни было других файлов производится с пользованием всевозможных ключей. Следовательно, никаких гарантий удачного восстановления покоробленных шифровальщиком заданных в том числе в случае оплаты выкупа перестать существует.

К сожалению, в реальное минута расшифровка покоробленных Trojan.Encoder.11432 файлов перестать видется возможной.

Признаки заражения

Признаками инфецирования глистом WannaCry являются:

  • наличие системной службы "mssecsvc2.0" (видимое имя - "Microsoft Security Center (2.0) Service");
  • наличие файла троянца-энкодера C:WINDOWS asksche.exe, прошлый экземпляр вредной программы хранится в файле C:WINDOWSqeriuwjhrf.

Что изготовлять в случае заражения

  • во избежание распространения инфекции отделить зараженные автомобиля так будто ПК с ценными заданными от компьютерных сетей;
  • сохранить резервную копию инфы на еденичные носители, коие в последствии этого обязаны храниться отключенными от каких бы то ни было компьютеров.

С подготовительным техническим описанием глиста можно ознакомиться по ссылке.

НОВОЕ НА САЙТЕ

Компания «НОВИВИДЕО» уже более пятнадцати лет представлена на рынке современного оборудования для видеонаблюдения. Именно благодаря большому опыту работы, а также использованию современных технологий, она и может похвастаться огромным количеством довольных […] 16 октября 2017 года

Бэкдорами общепринято величать вредные программы, могущие совершать поступающие от злоумышленников команды так насколько давать им же вероятность несанкционированного управления инфицированным устройством. Аналитики «Доктор Веб» изучили последний бэкдор, странность коего заключается в том, насколько он напечатан на языке Python.Горячая лента угроз и предупреждений о вирусной опасности!

16 октября 2017 года

Бэкдорами общеустановлено именовать вредные программы, могущие выполнять поступающие от злоумышленников команды так как-либо давать им же вероятность несанкционированного управления инфицированным устройством. Аналитики «Доктор Веб» обследовали новенький бэкдор, индивидуальность коего заключается в том, как-либо он напечатан на языке Pyt... Вирусные новости

12 октября 2017 года

Компания «Доктор Веб» уже публиковала материя о самых разных смешных артефактах, продающихся в российских интернет-магазинах, точно чудотворной нитке от сглаза либо устройства для экономии топлива в автомобиле на базе магнита хоть сло... Горячая лента угроз и предупреждений о вирусной опасности!

3 октября 2017 года

Компания «Доктор Веб» информирует об обновлении Windows-версии плагина Dr.Web для IBM Lotus Domino перед началом версии 11.0.3. Обновление связано с исправлением выявленной ошибки так что актуализацией документации администратора.

В Dr.Web для IBM Lotus Domino освеженной версии был модифицирован устройство декодирования MIME-... Антивирус Dr.Web