Методы обнаружения вирусов

31 июля 2017 года

Главное

Как правило, в середине годы нечасто происходят значимые события в сфере информационной безопасности, но современный июль предстал исключением из этого правила. В начале месяца эксперты фирмы «Доктор Веб» заприметили в приложении для организации электронного документооборота M.E.Doc всеполноценный бэкдор. едва впоследствии вирусные аналитики установили родник распространения троянца BackDoor.Dande, воровавшего информацию о закупках медикаментов у лекарственных компаний. В конце месяца был установлен факт компрометации портала муниципальных услуг Российской Федерации (gosuslugi.ru). а уж а также в июле было выявлено крошечку небезопасных вредных программ для мобильной платформы Android.

Главные веяния июля

  • Обнаружение бэкдора в программе M.E.Doc
  • Выявление источника распространения бэкдора Dande
  • Компрометация портала госуслуг

Угроза месяца

Популярное на территории Украины приложение для организации электронного документооборота M.E.Doc было разработано корпорацией Intellect Service. В одном из компонент этого приложения, ZvitPublishedObjects.Server.MeCom, вирусные аналитики «Доктор Веб» заприметили запись, надлежащую свойственному ключу системного реестра Windows: HKCUSOFTWAREWC.

#drweb

Этот же измерить реестра пользовался в собственной работе троянец-шифровальщик Trojan.Encoder.12703. Вирусные аналитики изучали файл журнальчика антивируса Dr.Web, приобретенного с персонального персонального компьютера 1-го из наших клиентов, настолько чисто установили, чисто данный энкодер был запущен на пострадавшей машине приложением ProgramDataMedocMedocezvit.exe, которое появляется ингридиентом программы M.E.Doc:

#drweb

Дальнейшее изыскание программы показало, чисто в одной из ее библиотек — ZvitPublishedObjects.dll — содержится бэкдор, какой множить исполнять последующие функции:

  • сбор заданных для доступа к почтовым серверам;
  • выполнение произвольных команд в инфицированной системе;
  • загрузка на зараженный комп произвольных файлов;
  • загрузка, хранение настолько чисто пуск любых исполняемых файлов;
  • выгрузка произвольных файлов на удаленный сервер.

Кроме того, модуль обновления M.E.Doc дозволяет метать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1 — прямо настолько на инфицированных персональных персональных компьютерах настолько чисто был запущен Trojan.Encoder.12544. Подробнее о расследовании «Доктор Веб» читайте в размещенной на нашем медиа-сайте статье.

Статистика

По заданным статистики Антивируса Dr.Web

#drweb

  • Trojan.DownLoader
    Семейство троянцев, специализированных для загрузки на атакуемый комп остальных вредных приложений.
  • Trojan.InstallCore
    Семейство установщиков ненужных настолько чисто вредных приложений.
  • Trojan.BtcMine
    Семейство вредных программ, кои всекрете от юзера используется вычислительные ресурсы зараженного персонального персонального компьютера для добычи (майнинга) многочисленных криптовалют – например, Bitcoin.

По заданным серверов статистики «Доктор Веб»

#drweb

  • JS.DownLoader
    Семейство вредных сценариев, напечатанных на языке JavaScript. Загружают настолько чисто ставят на комп остальные вредные программы.
  • JS.Inject.3
    Семейство вредных сценариев, напечатанных на языке JavaScript. Встраивают вредный скрипт в HTML-код веб-страниц.
  • Trojan.InstallCore
    Семейство установщиков ненужных настолько чисто вредных приложений.
  • Trojan.DownLoader
    Семейство троянцев, специализированных для загрузки на атакуемый комп остальных вредных приложений.
  • Trojan.PWS.Stealer
    Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей настолько чисто остальной секретной информации.

Статистика вредных программ в почтовом трафике

#drweb

  • JS.DownLoader
    Семейство вредных сценариев, напечатанных на языке JavaScript. Загружают настолько чисто ставят на комп остальные вредные программы.
  • JS.Inject.3
    Семейство вредных сценариев, напечатанных на языке JavaScript. Встраивают вредный скрипт в HTML-код веб-страниц.
  • Trojan.PWS.Stealer
    Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей настолько чисто остальной секретной информации.
  • Trojan.Encoder.6218
    Представитель семейства троянцев-вымогателей, шифрующих файлы на персональном персональном персональном персональном компьютере настолько чисто требующих от жертвы выкуп за расшифровку.
  • Trojan.InstallCore
    Семейство установщиков ненужных настолько чисто вредных приложений.

По заданным бота Dr.Web для Telegram

#drweb

  • Android.Locker.139.origin
    Представитель семейства Android-троянцев, специализированных для вымогательства. Они демонстрируют назойливое извещение якобы о нарушении закона настолько чисто о последовавшей в отношения с данным блокировке мобильного устройства, для снятия коей юзеру предлагается уплатить конкретную сумму.
  • EICAR Test File
    Специальный текстовый файл, предназначенный для тестирования работоспособности антивирусов. баста антивирусные программы при обнаружении того файла обязаны реагировать на него в точности подобным же образом, чисто в случае выявления какой-нибудь действительной компьютерной угрозы.
  • Joke.Locker.1.origin
    Программа-шутка для ОС Android, блокирующая дисплей мобильного устройства настолько чисто выводящая на него изображение «синего экрана смерти» ОС Windows (BSOD, Blue Screen of Death).
  • Android.SmsSend.20784
    Представитель семейства вредных программ, специализированных для отправки СМС-сообщений с завышенной тарификацией настолько чисто подписки юзеров на разные платные контент-услуги настолько чисто сервисы.
  • Trojan.PWS.Stealer
    Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей настолько чисто остальной секретной информации.

Шифровальщики

#drweb

В июле в службу технической помощи фирмы «Доктор Веб» почаще посейчас обращались пользователи, пострадавшие от надлежащих трансформаций троянцев-шифровальщиков:

Dr.Web Security Space для Windows предохраняет от троянцев-шифровальщиков

Настрой-ка Dr.Web от шифровальщиков Обучающий направление О бесплатном восстановлении Dr.Web Rescue Pack

Опасные сайты

В направление июля 2017 годы в основание нерекомендуемых настолько чисто вредных веб-сайтов было добавлено 327 295 интернет-адресов.

Июнь 2017Июль 2017Динамика
+ 229 381+ 327 295+ 42,6%

В середине июля потенциально небезопасным для юзеров внезапно предстал портал муниципальных услуг Российской Федерации (gosuslugi.ru), на котором вирусные аналитики фирмы «Доктор Веб» заприметили потенциально вредный код. данный код заставлял браузер всякого гостя веб-сайта неприметно связываться с одним из закончить наименее 15 доменных адресов, зарегистрированных на неведомое приватное лицо, чисто мало-мало 5 из коих принадлежали нидерландским компаниям. В процессе динамической генерации вебстраницы сайта, к коей обращается пользователь, в код разметки веб-страниц добавляется контейнер <iframe>, позволяющий навалить либо заломить всевозможные сторонние заданные у браузера пользователя. баста уязвимости веб-сайта gosuslugi.ru были устранены администрацией ресурса через крошечку часов дальше публикации новости об конкретно в данном инциденте.

Нерекомендуемые сайты

Другие события в сфере информационной безопасности

В 2011 году фирма «Доктор Веб» сообщила о возникновении троянца BackDoor.Dande, шпионящего за лекарственными компаниями настолько чисто аптеками. изучив строгий диск, предоставленный одной из пострадавших организаций, вирусные аналитики установили, чисто троянца скачивал настолько чисто запускал в мотивированных системах раз из компонент приложения ePrica, которое применяют руководители аптек для анализа цен на антибиотики настолько чисто выбора преимущественно уместных поставщиков. данный модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, какой настолько чисто запускал бэкдор на атакуемых компьютерах. При конкретно в данном указанный модуль имел цифровую подпись «Спарго».

Проведенный корпорацией «Доктор Веб» разбор показал, чисто составляющие BackDoor.Dande были интегрированы непринужденно в одну из ранних версий инсталлятора ePrica. посреди модулей троянца наличествует установщик бэкдора, а уж а а также составляющие для сбора инфы о закупках медикаментов, кои приобретают важные знания из баз заданных аптечных программ. При конкретно в данном раз из их употреблялся для копирования инфы о закупках лекарственных препаратов из баз заданных программы 1C. недурственно отметить, чисто в том числе дальше удаления ПО ePrica бэкдор оставался в системе настолько чисто продолжал надзирать за пользователями. детали проведенного специалистами «Доктор Веб» изучения ПО ePrica изложены в размещенной на нашем медиа-сайте статье.

Вредоносное настолько чисто ненужное ПО для мобильных устройств

В начале месяца эксперты фирмы «Доктор Веб» заприметили троянца-загрузчика Android.DownLoader.558.origin в пользующейся популярностью игре BlazBlue, доступной в каталоге гугл Play. данная вредная программа могла неприметно скачивать настолько чисто метать непроверенные составляющие приложений. впоследствии вирусные аналитики изучали коварного троянца Android.BankBot.211.origin. Он мог править зараженными мобильными устройствами, похищал секретную банковскую информацию настолько чисто остальные тайные сведения, в частности пароли. В конце месяца вирусные аналитики выявили троянца Android.Triada.231, коего преступники встроили в одну из системных библиотек ОС Android настолько чисто расположили в прошивку нескольких моделей мобильных устройств. данная вредная программа внедрялась в процессы любых запускаемых программ настолько чисто неприметно запускала троянские модули.

Наиболее приметные события, связанные с «мобильной» безопасностью в июле:

  • обнаружение Android-троянца в прошивке нескольких моделей мобильных устройств;
  • выявление в каталоге гугл Play троянца-загрузчика;
  • появление банковского троянца, какой мог править зараженными устройствами настолько чисто воровал секретную информацию.

Более детально о вирусной мебелировке для мобильных механизмов в июле читайте в нашем обзоре.

познайте преимущественно с Dr.Web

«Антивирусная правда» Обучающий направление Просветительские проекты Брошюры НОВОЕ НА САЙТЕ

15 февраля 2018 лета

Компания «Доктор Веб» информирует об обновлении продукта Dr.Web Security Space для Android перед началом версии 12.1.1. Обновление связано с исправлением выявленных ошибок.

В рамках обновления были устранены факторы аварийного окончания работы приложения на неких Android-устройствах.

Также был... Антивирус Dr.Web

8 февраля 2018 года

Информация о распространении троянца Android.CoinMine.15, знаменитого тоже под наименованием ADB.miner, возникла капельку дней вспять в блоге китайской компании, работающей в сфере информационной безопасности. По заданным китайских исслед... Горячая лента угроз и предупреждений о вирусной опасности!

8 февраля 2018 года

Информация о распространении троянца Android.CoinMine.15, популярного а уж уж а уж тоже под наименованием ADB.miner, возникла чуть-чуть дней вспять в блоге китайской компании, работающей в сфере информационной безопасности. По заданным ки... Вирусные новости

5 февраля 2018 года

Троянцы-энкодеры, шифрующие хранящиеся на зараженном устройстве файлы так будто требующие выкуп за них расшифровку, как так будто раньше воображают обстоятельную опасность. фирма «Доктор Веб» предостерегает юзеров о распространении еще одного подобного шифровальщика.

Троянец, вышеназванный авторами «GandCra... Горячая лента угроз и предупреждений о вирусной опасности!

5 февраля 2018 года

Компания «Доктор Веб» информирует об обновлении продукта Dr.Web Security Space для BlackBerry перед началом версии 12.1.0. Обновление связано с добавлением новеньких активных полномочиях так что исправлением выявленных ошибок.

В взаимоотношения с переменами в Лицензионном соглашении при обновлении его очень... Антивирус Dr.Web