Методы обнаружения вирусов

31 июля 2017 года

Главное

Как правило, в середине годы нечасто происходят значимые события в сфере информационной безопасности, но современный июль предстал исключением из этого правила. В начале месяца эксперты фирмы «Доктор Веб» заприметили в приложении для организации электронного документооборота M.E.Doc всеполноценный бэкдор. едва впоследствии вирусные аналитики установили родник распространения троянца BackDoor.Dande, воровавшего информацию о закупках медикаментов у лекарственных компаний. В конце месяца был установлен факт компрометации портала муниципальных услуг Российской Федерации (gosuslugi.ru). а уж а также в июле было выявлено крошечку небезопасных вредных программ для мобильной платформы Android.

Главные веяния июля

  • Обнаружение бэкдора в программе M.E.Doc
  • Выявление источника распространения бэкдора Dande
  • Компрометация портала госуслуг

Угроза месяца

Популярное на территории Украины приложение для организации электронного документооборота M.E.Doc было разработано корпорацией Intellect Service. В одном из компонент этого приложения, ZvitPublishedObjects.Server.MeCom, вирусные аналитики «Доктор Веб» заприметили запись, надлежащую свойственному ключу системного реестра Windows: HKCUSOFTWAREWC.

#drweb

Этот же измерить реестра пользовался в собственной работе троянец-шифровальщик Trojan.Encoder.12703. Вирусные аналитики изучали файл журнальчика антивируса Dr.Web, приобретенного с персонального персонального компьютера 1-го из наших клиентов, настолько чисто установили, чисто данный энкодер был запущен на пострадавшей машине приложением ProgramDataMedocMedocezvit.exe, которое появляется ингридиентом программы M.E.Doc:

#drweb

Дальнейшее изыскание программы показало, чисто в одной из ее библиотек — ZvitPublishedObjects.dll — содержится бэкдор, какой множить исполнять последующие функции:

  • сбор заданных для доступа к почтовым серверам;
  • выполнение произвольных команд в инфицированной системе;
  • загрузка на зараженный комп произвольных файлов;
  • загрузка, хранение настолько чисто пуск любых исполняемых файлов;
  • выгрузка произвольных файлов на удаленный сервер.

Кроме того, модуль обновления M.E.Doc дозволяет метать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1 — прямо настолько на инфицированных персональных персональных компьютерах настолько чисто был запущен Trojan.Encoder.12544. Подробнее о расследовании «Доктор Веб» читайте в размещенной на нашем медиа-сайте статье.

Статистика

По заданным статистики Антивируса Dr.Web

#drweb

  • Trojan.DownLoader
    Семейство троянцев, специализированных для загрузки на атакуемый комп остальных вредных приложений.
  • Trojan.InstallCore
    Семейство установщиков ненужных настолько чисто вредных приложений.
  • Trojan.BtcMine
    Семейство вредных программ, кои всекрете от юзера используется вычислительные ресурсы зараженного персонального персонального компьютера для добычи (майнинга) многочисленных криптовалют – например, Bitcoin.

По заданным серверов статистики «Доктор Веб»

#drweb

  • JS.DownLoader
    Семейство вредных сценариев, напечатанных на языке JavaScript. Загружают настолько чисто ставят на комп остальные вредные программы.
  • JS.Inject.3
    Семейство вредных сценариев, напечатанных на языке JavaScript. Встраивают вредный скрипт в HTML-код веб-страниц.
  • Trojan.InstallCore
    Семейство установщиков ненужных настолько чисто вредных приложений.
  • Trojan.DownLoader
    Семейство троянцев, специализированных для загрузки на атакуемый комп остальных вредных приложений.
  • Trojan.PWS.Stealer
    Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей настолько чисто остальной секретной информации.

Статистика вредных программ в почтовом трафике

#drweb

  • JS.DownLoader
    Семейство вредных сценариев, напечатанных на языке JavaScript. Загружают настолько чисто ставят на комп остальные вредные программы.
  • JS.Inject.3
    Семейство вредных сценариев, напечатанных на языке JavaScript. Встраивают вредный скрипт в HTML-код веб-страниц.
  • Trojan.PWS.Stealer
    Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей настолько чисто остальной секретной информации.
  • Trojan.Encoder.6218
    Представитель семейства троянцев-вымогателей, шифрующих файлы на персональном персональном персональном персональном компьютере настолько чисто требующих от жертвы выкуп за расшифровку.
  • Trojan.InstallCore
    Семейство установщиков ненужных настолько чисто вредных приложений.

По заданным бота Dr.Web для Telegram

#drweb

  • Android.Locker.139.origin
    Представитель семейства Android-троянцев, специализированных для вымогательства. Они демонстрируют назойливое извещение якобы о нарушении закона настолько чисто о последовавшей в отношения с данным блокировке мобильного устройства, для снятия коей юзеру предлагается уплатить конкретную сумму.
  • EICAR Test File
    Специальный текстовый файл, предназначенный для тестирования работоспособности антивирусов. баста антивирусные программы при обнаружении того файла обязаны реагировать на него в точности подобным же образом, чисто в случае выявления какой-нибудь действительной компьютерной угрозы.
  • Joke.Locker.1.origin
    Программа-шутка для ОС Android, блокирующая дисплей мобильного устройства настолько чисто выводящая на него изображение «синего экрана смерти» ОС Windows (BSOD, Blue Screen of Death).
  • Android.SmsSend.20784
    Представитель семейства вредных программ, специализированных для отправки СМС-сообщений с завышенной тарификацией настолько чисто подписки юзеров на разные платные контент-услуги настолько чисто сервисы.
  • Trojan.PWS.Stealer
    Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей настолько чисто остальной секретной информации.

Шифровальщики

#drweb

В июле в службу технической помощи фирмы «Доктор Веб» почаще посейчас обращались пользователи, пострадавшие от надлежащих трансформаций троянцев-шифровальщиков:

Dr.Web Security Space для Windows предохраняет от троянцев-шифровальщиков

Настрой-ка Dr.Web от шифровальщиков Обучающий направление О бесплатном восстановлении Dr.Web Rescue Pack

Опасные сайты

В направление июля 2017 годы в основание нерекомендуемых настолько чисто вредных веб-сайтов было добавлено 327 295 интернет-адресов.

Июнь 2017Июль 2017Динамика
+ 229 381+ 327 295+ 42,6%

В середине июля потенциально небезопасным для юзеров внезапно предстал портал муниципальных услуг Российской Федерации (gosuslugi.ru), на котором вирусные аналитики фирмы «Доктор Веб» заприметили потенциально вредный код. данный код заставлял браузер всякого гостя веб-сайта неприметно связываться с одним из закончить наименее 15 доменных адресов, зарегистрированных на неведомое приватное лицо, чисто мало-мало 5 из коих принадлежали нидерландским компаниям. В процессе динамической генерации вебстраницы сайта, к коей обращается пользователь, в код разметки веб-страниц добавляется контейнер <iframe>, позволяющий навалить либо заломить всевозможные сторонние заданные у браузера пользователя. баста уязвимости веб-сайта gosuslugi.ru были устранены администрацией ресурса через крошечку часов дальше публикации новости об конкретно в данном инциденте.

Нерекомендуемые сайты

Другие события в сфере информационной безопасности

В 2011 году фирма «Доктор Веб» сообщила о возникновении троянца BackDoor.Dande, шпионящего за лекарственными компаниями настолько чисто аптеками. изучив строгий диск, предоставленный одной из пострадавших организаций, вирусные аналитики установили, чисто троянца скачивал настолько чисто запускал в мотивированных системах раз из компонент приложения ePrica, которое применяют руководители аптек для анализа цен на антибиотики настолько чисто выбора преимущественно уместных поставщиков. данный модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, какой настолько чисто запускал бэкдор на атакуемых компьютерах. При конкретно в данном указанный модуль имел цифровую подпись «Спарго».

Проведенный корпорацией «Доктор Веб» разбор показал, чисто составляющие BackDoor.Dande были интегрированы непринужденно в одну из ранних версий инсталлятора ePrica. посреди модулей троянца наличествует установщик бэкдора, а уж а а также составляющие для сбора инфы о закупках медикаментов, кои приобретают важные знания из баз заданных аптечных программ. При конкретно в данном раз из их употреблялся для копирования инфы о закупках лекарственных препаратов из баз заданных программы 1C. недурственно отметить, чисто в том числе дальше удаления ПО ePrica бэкдор оставался в системе настолько чисто продолжал надзирать за пользователями. детали проведенного специалистами «Доктор Веб» изучения ПО ePrica изложены в размещенной на нашем медиа-сайте статье.

Вредоносное настолько чисто ненужное ПО для мобильных устройств

В начале месяца эксперты фирмы «Доктор Веб» заприметили троянца-загрузчика Android.DownLoader.558.origin в пользующейся популярностью игре BlazBlue, доступной в каталоге гугл Play. данная вредная программа могла неприметно скачивать настолько чисто метать непроверенные составляющие приложений. впоследствии вирусные аналитики изучали коварного троянца Android.BankBot.211.origin. Он мог править зараженными мобильными устройствами, похищал секретную банковскую информацию настолько чисто остальные тайные сведения, в частности пароли. В конце месяца вирусные аналитики выявили троянца Android.Triada.231, коего преступники встроили в одну из системных библиотек ОС Android настолько чисто расположили в прошивку нескольких моделей мобильных устройств. данная вредная программа внедрялась в процессы любых запускаемых программ настолько чисто неприметно запускала троянские модули.

Наиболее приметные события, связанные с «мобильной» безопасностью в июле:

  • обнаружение Android-троянца в прошивке нескольких моделей мобильных устройств;
  • выявление в каталоге гугл Play троянца-загрузчика;
  • появление банковского троянца, какой мог править зараженными устройствами настолько чисто воровал секретную информацию.

Более детально о вирусной мебелировке для мобильных механизмов в июле читайте в нашем обзоре.

познайте преимущественно с Dr.Web

«Антивирусная правда» Обучающий направление Просветительские проекты Брошюры НОВОЕ НА САЙТЕ

11 декабря 2017 лета

Компания «Доктор Веб» информирует о выпуске Dr.Web версии 11.0.2 для macOS. В продукт добавлена помощь macOS High Sierra (10.13) так что новейшие активные возможности, а уж выявленные ошибки были исправлены.

Улучшения в продукте:

  • поскольку macOS High Sierra требует у юзеров лицен... Антивирус Dr.Web

    11 декабря 2017 года

    Компания «Доктор Веб» информирует об обновлении продукта Dr.Web Light для macOS перед началом версии 11.0.1. Обновление связано с исправлением выявленных ошибок так будто добавлением справочной документации на нескольких языках.

    Устранена первопричина аварийного окончания работы Dr.Web Light для macOS, которое могло выходить ... Антивирус Dr.Web

    7 декабря 2017 года

    Компания «Доктор Веб» уже рассказывала о троянце Linux.ProxyM, могущем заражать «умные» устройства под управлением ОС Linux.... Горячая лента угроз и предупреждений о вирусной опасности!

    7 декабря 2017 года

    Компания «Доктор Веб» уже рассказывала о троянце Linux.ProxyM, могущем заражать «умные» устройства под управлением ОС Linux.... Вирусные новости

    4 декабря 2017 годы

    Компания «Доктор Веб» информирует о выпуске Dr.Web Light 11.0.1 для Android. В продукт был внесен линия усовершенствований так что исправлений.

    В отношения с переменами в Лицензионном соглашении при обновлении его надобно встретить повторно.

    В приложение была добавлена вероятность работ... Антивирус Dr.Web