Методы обнаружения вирусов

31 июля 2017 года

Главное

Как правило, в середине годы нечасто происходят значимые события в сфере информационной безопасности, но современный июль предстал исключением из этого правила. В начале месяца эксперты фирмы «Доктор Веб» заприметили в приложении для организации электронного документооборота M.E.Doc всеполноценный бэкдор. едва впоследствии вирусные аналитики установили родник распространения троянца BackDoor.Dande, воровавшего информацию о закупках медикаментов у лекарственных компаний. В конце месяца был установлен факт компрометации портала муниципальных услуг Российской Федерации (gosuslugi.ru). а уж а также в июле было выявлено крошечку небезопасных вредных программ для мобильной платформы Android.

Главные веяния июля

  • Обнаружение бэкдора в программе M.E.Doc
  • Выявление источника распространения бэкдора Dande
  • Компрометация портала госуслуг

Угроза месяца

Популярное на территории Украины приложение для организации электронного документооборота M.E.Doc было разработано корпорацией Intellect Service. В одном из компонент этого приложения, ZvitPublishedObjects.Server.MeCom, вирусные аналитики «Доктор Веб» заприметили запись, надлежащую свойственному ключу системного реестра Windows: HKCUSOFTWAREWC.

#drweb

Этот же измерить реестра пользовался в собственной работе троянец-шифровальщик Trojan.Encoder.12703. Вирусные аналитики изучали файл журнальчика антивируса Dr.Web, приобретенного с персонального персонального компьютера 1-го из наших клиентов, настолько чисто установили, чисто данный энкодер был запущен на пострадавшей машине приложением ProgramDataMedocMedocezvit.exe, которое появляется ингридиентом программы M.E.Doc:

#drweb

Дальнейшее изыскание программы показало, чисто в одной из ее библиотек — ZvitPublishedObjects.dll — содержится бэкдор, какой множить исполнять последующие функции:

  • сбор заданных для доступа к почтовым серверам;
  • выполнение произвольных команд в инфицированной системе;
  • загрузка на зараженный комп произвольных файлов;
  • загрузка, хранение настолько чисто пуск любых исполняемых файлов;
  • выгрузка произвольных файлов на удаленный сервер.

Кроме того, модуль обновления M.E.Doc дозволяет метать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1 — прямо настолько на инфицированных персональных персональных компьютерах настолько чисто был запущен Trojan.Encoder.12544. Подробнее о расследовании «Доктор Веб» читайте в размещенной на нашем медиа-сайте статье.

Статистика

По заданным статистики Антивируса Dr.Web

#drweb

  • Trojan.DownLoader
    Семейство троянцев, специализированных для загрузки на атакуемый комп остальных вредных приложений.
  • Trojan.InstallCore
    Семейство установщиков ненужных настолько чисто вредных приложений.
  • Trojan.BtcMine
    Семейство вредных программ, кои всекрете от юзера используется вычислительные ресурсы зараженного персонального персонального компьютера для добычи (майнинга) многочисленных криптовалют – например, Bitcoin.

По заданным серверов статистики «Доктор Веб»

#drweb

  • JS.DownLoader
    Семейство вредных сценариев, напечатанных на языке JavaScript. Загружают настолько чисто ставят на комп остальные вредные программы.
  • JS.Inject.3
    Семейство вредных сценариев, напечатанных на языке JavaScript. Встраивают вредный скрипт в HTML-код веб-страниц.
  • Trojan.InstallCore
    Семейство установщиков ненужных настолько чисто вредных приложений.
  • Trojan.DownLoader
    Семейство троянцев, специализированных для загрузки на атакуемый комп остальных вредных приложений.
  • Trojan.PWS.Stealer
    Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей настолько чисто остальной секретной информации.

Статистика вредных программ в почтовом трафике

#drweb

  • JS.DownLoader
    Семейство вредных сценариев, напечатанных на языке JavaScript. Загружают настолько чисто ставят на комп остальные вредные программы.
  • JS.Inject.3
    Семейство вредных сценариев, напечатанных на языке JavaScript. Встраивают вредный скрипт в HTML-код веб-страниц.
  • Trojan.PWS.Stealer
    Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей настолько чисто остальной секретной информации.
  • Trojan.Encoder.6218
    Представитель семейства троянцев-вымогателей, шифрующих файлы на персональном персональном персональном персональном компьютере настолько чисто требующих от жертвы выкуп за расшифровку.
  • Trojan.InstallCore
    Семейство установщиков ненужных настолько чисто вредных приложений.

По заданным бота Dr.Web для Telegram

#drweb

  • Android.Locker.139.origin
    Представитель семейства Android-троянцев, специализированных для вымогательства. Они демонстрируют назойливое извещение якобы о нарушении закона настолько чисто о последовавшей в отношения с данным блокировке мобильного устройства, для снятия коей юзеру предлагается уплатить конкретную сумму.
  • EICAR Test File
    Специальный текстовый файл, предназначенный для тестирования работоспособности антивирусов. баста антивирусные программы при обнаружении того файла обязаны реагировать на него в точности подобным же образом, чисто в случае выявления какой-нибудь действительной компьютерной угрозы.
  • Joke.Locker.1.origin
    Программа-шутка для ОС Android, блокирующая дисплей мобильного устройства настолько чисто выводящая на него изображение «синего экрана смерти» ОС Windows (BSOD, Blue Screen of Death).
  • Android.SmsSend.20784
    Представитель семейства вредных программ, специализированных для отправки СМС-сообщений с завышенной тарификацией настолько чисто подписки юзеров на разные платные контент-услуги настолько чисто сервисы.
  • Trojan.PWS.Stealer
    Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей настолько чисто остальной секретной информации.

Шифровальщики

#drweb

В июле в службу технической помощи фирмы «Доктор Веб» почаще посейчас обращались пользователи, пострадавшие от надлежащих трансформаций троянцев-шифровальщиков:

Dr.Web Security Space для Windows предохраняет от троянцев-шифровальщиков

Настрой-ка Dr.Web от шифровальщиков Обучающий направление О бесплатном восстановлении Dr.Web Rescue Pack

Опасные сайты

В направление июля 2017 годы в основание нерекомендуемых настолько чисто вредных веб-сайтов было добавлено 327 295 интернет-адресов.

Июнь 2017Июль 2017Динамика
+ 229 381+ 327 295+ 42,6%

В середине июля потенциально небезопасным для юзеров внезапно предстал портал муниципальных услуг Российской Федерации (gosuslugi.ru), на котором вирусные аналитики фирмы «Доктор Веб» заприметили потенциально вредный код. данный код заставлял браузер всякого гостя веб-сайта неприметно связываться с одним из закончить наименее 15 доменных адресов, зарегистрированных на неведомое приватное лицо, чисто мало-мало 5 из коих принадлежали нидерландским компаниям. В процессе динамической генерации вебстраницы сайта, к коей обращается пользователь, в код разметки веб-страниц добавляется контейнер <iframe>, позволяющий навалить либо заломить всевозможные сторонние заданные у браузера пользователя. баста уязвимости веб-сайта gosuslugi.ru были устранены администрацией ресурса через крошечку часов дальше публикации новости об конкретно в данном инциденте.

Нерекомендуемые сайты

Другие события в сфере информационной безопасности

В 2011 году фирма «Доктор Веб» сообщила о возникновении троянца BackDoor.Dande, шпионящего за лекарственными компаниями настолько чисто аптеками. изучив строгий диск, предоставленный одной из пострадавших организаций, вирусные аналитики установили, чисто троянца скачивал настолько чисто запускал в мотивированных системах раз из компонент приложения ePrica, которое применяют руководители аптек для анализа цен на антибиотики настолько чисто выбора преимущественно уместных поставщиков. данный модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, какой настолько чисто запускал бэкдор на атакуемых компьютерах. При конкретно в данном указанный модуль имел цифровую подпись «Спарго».

Проведенный корпорацией «Доктор Веб» разбор показал, чисто составляющие BackDoor.Dande были интегрированы непринужденно в одну из ранних версий инсталлятора ePrica. посреди модулей троянца наличествует установщик бэкдора, а уж а а также составляющие для сбора инфы о закупках медикаментов, кои приобретают важные знания из баз заданных аптечных программ. При конкретно в данном раз из их употреблялся для копирования инфы о закупках лекарственных препаратов из баз заданных программы 1C. недурственно отметить, чисто в том числе дальше удаления ПО ePrica бэкдор оставался в системе настолько чисто продолжал надзирать за пользователями. детали проведенного специалистами «Доктор Веб» изучения ПО ePrica изложены в размещенной на нашем медиа-сайте статье.

Вредоносное настолько чисто ненужное ПО для мобильных устройств

В начале месяца эксперты фирмы «Доктор Веб» заприметили троянца-загрузчика Android.DownLoader.558.origin в пользующейся популярностью игре BlazBlue, доступной в каталоге гугл Play. данная вредная программа могла неприметно скачивать настолько чисто метать непроверенные составляющие приложений. впоследствии вирусные аналитики изучали коварного троянца Android.BankBot.211.origin. Он мог править зараженными мобильными устройствами, похищал секретную банковскую информацию настолько чисто остальные тайные сведения, в частности пароли. В конце месяца вирусные аналитики выявили троянца Android.Triada.231, коего преступники встроили в одну из системных библиотек ОС Android настолько чисто расположили в прошивку нескольких моделей мобильных устройств. данная вредная программа внедрялась в процессы любых запускаемых программ настолько чисто неприметно запускала троянские модули.

Наиболее приметные события, связанные с «мобильной» безопасностью в июле:

  • обнаружение Android-троянца в прошивке нескольких моделей мобильных устройств;
  • выявление в каталоге гугл Play троянца-загрузчика;
  • появление банковского троянца, какой мог править зараженными устройствами настолько чисто воровал секретную информацию.

Более детально о вирусной мебелировке для мобильных механизмов в июле читайте в нашем обзоре.

познайте преимущественно с Dr.Web

«Антивирусная правда» Обучающий направление Просветительские проекты Брошюры НОВОЕ НА САЙТЕ

17 августа 2017 года

Компания «Доктор Веб» уже рассказывала о том, ровно некорректная настройка DNS-серверов в совокупности с иными причинами помножать встать одной из вероятных обстоятельств компрометации веб-сайта. Проведенное нашими аналитиками изыскан... Горячая лента угроз и предупреждений о вирусной опасности!

17 августа 2017 года

Компания «Доктор Веб» информирует об обновлении модуля Dr.Web AV-Desk Agent for Windows setup (11.0.6.08070) в интернет-сервисе Dr.Web AV-Desk 10.0 так что Dr.Web Enterprise Agent for Windows setup (11.0.6.08033) в Dr.Web Enterprise Security Suite 10.0 так что 10.1. Обновление связано с исправлением выявленной ошибки.Антивирус Dr.Web

8 августа 2017 года

Компания «Доктор Веб» информирует об обновлении управляющего обслуживания Dr.Web Control Service (11.0.18.07311) в продуктах Dr.Web Security Space 11.0, Антивирус Dr.Web 11.0 так что Dr.Web Enterprise Security Suite 10.1, а уж тоже (11.0.17.07240) в Dr.Web Enterprise Security Suite 10.0 так что Dr.Web AV-Desk 10.0. Обновле... Антивирус Dr.Web

3 августа 2017 года

Компания «Доктор Веб» сообщает о завершении инспекционного контроля для сертифицированной в ФСТЭК России версии Dr.Web Enterprise Security Suite (сертификат соответствия от 27 января 2016 г. № 3509). Эта процедура была направлена на исправление уязвимости Z-2016-02373, расширение перечня поддерживаемых ОС (добавлена поддержка AstraLi... Антивирус Dr.Web

3 августа 2017 года

Компания «Доктор Веб» информирует об обновлении дарового деньги аварийного восстановления так что исцеления ПК – Dr.Web LiveDisk 9.0.

Реализовано поправка проблемы, приводившей на неких системах под управлением ОС Windows к невозможности пуска так что инсталляции продуктов Dr.Web.

Антивирус Dr.Web