Методы обнаружения вирусов

17 мая 2017 года

В пятницу 12 мая тьма-тьмущая компов по всему миру оказались заражены небезопасным червем, популярным под именованием WannaCry. эксперты фирмы «Доктор Веб» кропотливо учат данную вредоносную программу, впрочем уже на данный момент готовы раздробиться некими итогами собственного исследования.

Вредоносная программа, популярная под наименованием WannaCry, воображает собой сетевого червя, могущего заражать компы под управлением Microsoft Windows без участия пользователя. Антивирус Dr.Web детектирует баста составляющие глиста под именованием Trojan.Encoder.11432. Его распространение началось приближенно в 10 утра 12 мая 2017 года. глист штурмует баста компы в локальной сети, а уж уж уж уж тоже удаленные интернет-узлы со случайными IP-адресами, стараясь учредить сплетение с портом 445. Обосновавшись на инфицированном компьютере, глист собственноручно старается заразить иные доступные автомобиля — данным так будто разъясняется массовость эпидемии. Сама вредная программа имеет маленько компонентов, троянец-энкодер — едва-лишь раз из них.

Сетевой червь

Сразу в последствии пуска глист старается отослать запрос на удаленный сервер, домен коего хранится в троянце. коли отголосок на данный запрос получен, глист завершает свою работу. кое-какие СМИ сообщали, будто эпидемию WannaCry получилось остановить, зарегистрировав данный домен: к моменту основания распространения троянца он был волен якобы в следствии оплошки злоумышленников. На самом деле разбор троянца показывает, будто он полно изготовлять так будто распространяться на компьютерах, имеющих доступ к локальной сети, впрочем перестать имеющих включения к Интернету. отчего об остановке эпидемии растабарывать покамест преждевременно.

После пуска троянец индексирует себя в качестве системной службы с именованием mssecsvc2.0. При данном глист чувствителен к характеристикам командной строки: коли указан какой-нибудь аргумент, он старается настроить машинальный перезапуск службы в случае появления ошибки. сквозь 24 часа в последствии собственного пуска в качестве системной службы глист механично завершает работу.

Успешно стартовав на инфицированной машине, глист начинает опрашивать узлы, доступные в локальной паутины зараженной машины, а уж уж уж уж тоже компы в вебе со случайными IP-адресами. Он старается объединиться с портом 445. коли ему же получилось учредить соединение, глист решает попытку заразить эти компы с пользованием уязвимости в протоколе SMB.

Дроппер

Дроппер — это компонент, предназначенный для инсталляции в операционную систему вредного исполняемого файла. Дроппер глиста WannaCry содержит огромный защищенный паролем ZIP-архив, в котором хранится зашифрованный файл с троянцем-энкодером, обои Рабочего стола Windows с требованиями злоумышленников, файл с адресами onion-серверов так будто именованием кошелька для приема биткойнов, а уж уж уж уж тоже картотека с программами для работы в паутины Tor. Дроппер запускается из тела червя, монтируется в систему, в последствии чего старается забросить свою копию в пейзаже системной службы со случайным именем. коли это перестать удается, он выполняется, как-либо обыкновенная программа. основополагающая миссия дроппера — оставить на диск содержимое архива, а уж уж уж уж тоже дешифрировать так будто забросить шифровальщик.

Троянец-шифровальщик

Энкодер Trojan.Encoder.11432 шифрует файлы со случайным ключом. В файле сберегаются знания о длине зашифрованного ключа, сам зашифрованный ключ, сообщение о типе шифрования так будто размере начального файла. В процессе шифрования формируется файл f.wnry — в нем сберегается копия файлов, коие троянец помножать дешифрировать в тестовом режиме.

Троянец содержит в для себя авторский декодер, какой удаляет на зараженном персональном персональном компьютере теневые клоны так будто отключает функцию восстановления системы. Он обменивает обои Рабочего стола Windows на графический файл надлежащего содержания:

screenshot

Затем он распаковывает приложения для работы с паутиной Tor (или скачивает них из сети) так будто соединяется с onion-серверами, адреса коих указаны в изменения троянца. Оттуда он приобретает имя кошелька для приема криптовалюты Bitcoin так будто записывает его в конфигурацию. Для обмена заданными с onion-серверами Trojan.Encoder.11432 применяет личный протокол.

Декодер разрешает дешифрировать маленько тестовых файлов, копия коих хранится в файле f.wnry. частный ключ, нужный для них расшифровки, хранится в одном из составляющую вредной программы. отчего них можно дешифрировать в том числе без употребления самого троянца. впрочем расшифровка тестовых так будто каких бы то ни было других файлов производится с пользованием всевозможных ключей. Следовательно, никаких гарантий удачного восстановления покоробленных шифровальщиком заданных в том числе в случае оплаты выкупа перестать существует.

К сожалению, в реальное минута расшифровка покоробленных Trojan.Encoder.11432 файлов перестать видется возможной.

Признаки заражения

Признаками инфецирования глистом WannaCry являются:

  • наличие системной службы "mssecsvc2.0" (видимое имя - "Microsoft Security Center (2.0) Service");
  • наличие файла троянца-энкодера C:WINDOWS asksche.exe, прошлый экземпляр вредной программы хранится в файле C:WINDOWSqeriuwjhrf.

Что изготовлять в случае заражения

  • во избежание распространения инфекции отделить зараженные автомобиля так будто ПК с ценными заданными от компьютерных сетей;
  • сохранить резервную копию инфы на еденичные носители, коие в последствии этого обязаны храниться отключенными от каких бы то ни было компьютеров.

С подготовительным техническим описанием глиста можно ознакомиться по ссылке.

НОВОЕ НА САЙТЕ

25 мая 2017 года

Вредоносные программы для операционных систем семейства Linux перестать настолько всераспространены по уподоблению с Windows-троянцами. для тех перестать перестать делать более они воображают нешуточную угрозу для пользователей. эксперты «Доктор Веб» изучали сложного многокомпонентного троянца, могущего заражать устройства под управлени... Горячая лента угроз и предупреждений о вирусной опасности!

25 мая 2017 года

Вредоносные программы для операционных систем семейства Linux закончить столько всераспространены по уподоблению с Windows-троянцами. для тех закончить перестать делать делать более они воображают нешуточную угрозу для пользователей. знатоки «Доктор Веб» обследовали сложного многокомпонентного троянца, могущего заражать устройства под у... Вирусные новости

24 мая 2017 года

Компания «Доктор Веб» информирует об обновлении Dr.Web Security Space для Android перед началом версии 11.1.2. Обновление связано с исправлением выявленных ошибок так что малыми переменами в интерфейсе.

В продукт были внесены надлежащие изменения:

  • исправлена оплошка в работе URL-фильтра в «Яндек... Антивирус Dr.Web

    23 мая 2016 года

    Компания «Доктор Веб» информирует об обновлении дарового денежные средства аварийного восстановления так что исцеления ПК – Dr.Web LiveDisk 9.0. Обновление связано с исправлением выявленных ошибок.

    При обновлении была устранена резон аварийного окончания работы USB-версии утилиты, возникавшего на персональных... Антивирус Dr.Web

    18 мая 2017 года

    Компания «Доктор Веб» информирует об обновлении сканирующего обслуживания Dr.Web Scanning Engine (11.1.10.201704260), управляющего обслуживания Dr.Web Control Service (11.0.13.04281), модуля Dr.Web Thunderstorm Cloud Client SDK (11.0.2.04270) так что конфигурационного скрипта Lua-script for antispam (11.0.5.11080) в ряде продуктов Dr.We... Антивирус Dr.Web