Методы обнаружения вирусов

31 июля 2017 года

Главное

Как правило, в середине возраст нечасто происходят важные события в сфере информационной безопасности, впрочем теперешний июль предстал исключением из этого правила. В начале месяца эксперты фирмы «Доктор Веб» заприметили в приложении для организации электронного документооборота M.E.Doc полновесный бэкдор. чуть-чуть потом вирусные аналитики установили отправляться распространения троянца BackDoor.Dande, воровавшего информацию о закупках медикаментов у лекарственных компаний. В конце месяца был установлен факт компрометации портала муниципальных услуг Российской Федерации (gosuslugi.ru). а уж еще в июле было выявлено капельку небезопасных вредных программ для мобильной платформы Android.

ГЛАВНЫЕ веяния ИЮЛЯ

  • Обнаружение бэкдора в программе M.E.Doc
  • Выявление источника распространения бэкдора Dande
  • Компрометация портала госуслуг

Угроза месяца

Популярное на территории Украины приложение для организации электронного документооборота M.E.Doc было разработано корпорацией Intellect Service. В одном из компонент этого приложения, ZvitPublishedObjects.Server.MeCom, вирусные аналитики «Доктор Веб» заприметили запись, соответственную свойственному ключу системного реестра Windows: HKCUSOFTWAREWC.

#drweb

Этот же измерить реестра применял в собственной работе троянец-шифровальщик Trojan.Encoder.12703. Вирусные аналитики изучили файл журнальчика антивируса Dr.Web, приобретенного с персонального персонального компьютера единого из наших клиентов, этак точно установили, точно данный энкодер был запущен на пострадавшей машине приложением ProgramDataMedocMedocezvit.exe, которое появляется ингридиентом программы M.E.Doc:

#drweb

Дальнейшее изучение программы показало, точно в одной из ее библиотек — ZvitPublishedObjects.dll — содержится бэкдор, какой помножать скорпулезно надлежащие функции:

  • сбор заданных для доступа к почтовым серверам;
  • выполнение произвольных команд в инфицированной системе;
  • загрузка на зараженный персональный комп произвольных файлов;
  • загрузка, хранение этак точно пуск любых исполняемых файлов;
  • выгрузка произвольных файлов на удаленный сервер.

Кроме того, модуль обновления M.E.Doc разрешает метать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1 — какой-нибудь этак на инфицированных персональных персональных компьютерах этак точно был запущен Trojan.Encoder.12544. Подробнее о расследовании «Доктор Веб» читайте в размещенной на нашем медиа-сайте статье.

Статистика

По заданным статистики Антивируса Dr.Web

#drweb

  • Trojan.DownLoader
    Семейство троянцев, специализированных для загрузки на атакуемый персональный комп остальных вредных приложений.
  • Trojan.InstallCore
    Семейство установщиков ненужных этак точно вредных приложений.
  • Trojan.BtcMine
    Семейство вредных программ, кои всекрете от юзера задействуют вычислительные ресурсы зараженного персонального персонального компьютера для добычи (майнинга) всевозможных криптовалют – например, Bitcoin.

По заданным серверов статистики «Доктор Веб»

#drweb

  • JS.DownLoader
    Семейство вредных сценариев, напечатанных на языке JavaScript. Загружают этак точно ставят на персональный комп альтернативные вредные программы.
  • JS.Inject.3
    Семейство вредных сценариев, напечатанных на языке JavaScript. Встраивают вредный скрипт в HTML-код веб-страниц.
  • Trojan.InstallCore
    Семейство установщиков ненужных этак точно вредных приложений.
  • Trojan.DownLoader
    Семейство троянцев, специализированных для загрузки на атакуемый персональный комп остальных вредных приложений.
  • Trojan.PWS.Stealer
    Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей этак точно противолежащий секретной информации.

Статистика вредных программ в почтовом трафике

#drweb

  • JS.DownLoader
    Семейство вредных сценариев, напечатанных на языке JavaScript. Загружают этак точно ставят на персональный комп альтернативные вредные программы.
  • JS.Inject.3
    Семейство вредных сценариев, напечатанных на языке JavaScript. Встраивают вредный скрипт в HTML-код веб-страниц.
  • Trojan.PWS.Stealer
    Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей этак точно противолежащий секретной информации.
  • Trojan.Encoder.6218
    Представитель семейства троянцев-вымогателей, шифрующих файлы на персональном персональном персональном персональном компьютере этак точно требующих от жертвы выкуп за расшифровку.
  • Trojan.InstallCore
    Семейство установщиков ненужных этак точно вредных приложений.

По заданным бота Dr.Web для Telegram

#drweb

  • Android.Locker.139.origin
    Представитель семейства Android-троянцев, специализированных для вымогательства. Они демонстрируют назойливое известие якобы о нарушении закона этак точно о последовавшей в взаимоотношения с данным блокировке мобильного устройства, для снятия коей юзеру предлагается оплатить конкретную сумму.
  • EICAR Test File
    Специальный текстовый файл, предназначенный для тестирования работоспособности антивирусов. кончено антивирусные программы при обнаружении подобного файла обязаны реагировать на него в точности подобным же образом, точно в случае выявления какой действительной компьютерной угрозы.
  • Joke.Locker.1.origin
    Программа-шутка для ОС Android, блокирующая дисплей мобильного устройства этак точно выводящая на него изображение «синего экрана смерти» ОС Windows (BSOD, Blue Screen of Death).
  • Android.SmsSend.20784
    Представитель семейства вредных программ, специализированных для отправки СМС-сообщений с завышенной тарификацией этак точно подписки юзеров на всевозможные платные контент-услуги этак точно сервисы.
  • Trojan.PWS.Stealer
    Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей этак точно противолежащий секретной информации.

Шифровальщики

#drweb

В июле в службу технической помощи фирмы «Доктор Веб» почаще простите обращались пользователи, пострадавшие от надлежащих трансформаций троянцев-шифровальщиков:

Dr.Web Security Space для Windows охраняет от троянцев-шифровальщиков

Настрой-ка Dr.Web от шифровальщиков Обучающий направление О бесплатном восстановлении Dr.Web Rescue Pack

Опасные сайты

В направление июля 2017 годы в основу нерекомендуемых этак точно вредных веб-сайтов было добавлено 327 295 интернет-адресов.

Июнь 2017Июль 2017Динамика
+ 229 381+ 327 295+ 42,6%

В середине июля потенциально небезопасным для юзеров вдруг предстал портал муниципальных услуг Российской Федерации (gosuslugi.ru), на котором вирусные аналитики фирмы «Доктор Веб» заприметили потенциально вредный код. данный код заставлял браузер всякого гостя веб-сайта неприметно связываться с одним из закончить гораздо 15 доменных адресов, зарегистрированных на безизвестное приватное лицо, точно космос 5 из коих принадлежали нидерландским компаниям. В процессе динамической генерации вебстраницы сайта, к коей обращается пользователь, в код разметки веб-страниц добавляется контейнер <iframe>, позволяющий навалить либо спросить всевозможные сторонние заданные у браузера пользователя. кончено уязвимости веб-сайта gosuslugi.ru были устранены администрацией ресурса через капельку часов потом публикации новости об данном инциденте.

Нерекомендуемые сайты

Другие события в сфере информационной безопасности

В 2011 году фирма «Доктор Веб» сообщила о возникновении троянца BackDoor.Dande, шпионящего за лекарственными компаниями этак точно аптеками. изучив железный диск, предоставленный одной из пострадавших организаций, вирусные аналитики установили, точно троянца скачивал этак точно запускал в мотивированных системах одинакий из компонент приложения ePrica, которое задействуют руководители аптек для анализа цен на антибиотики этак точно выбора наиболее уместных поставщиков. данный модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, какой этак точно запускал бэкдор на атакуемых компьютерах. При данном указанный модуль имел цифровую подпись «Спарго».

Проведенный корпорацией «Доктор Веб» рассмотрение показал, точно составляющие BackDoor.Dande были интегрированы конкретно в одну из ранних версий инсталлятора ePrica. посреди модулей троянца наличествует установщик бэкдора, а уж а еще составляющие для сбора инфы о закупках медикаментов, кои приобретают нужные знания из баз заданных аптечных программ. При данном одинакий из их употреблялся для копирования инфы о закупках лекарственных препаратов из баз заданных программы 1C. мирово отметить, точно в том числе потом удаления ПО ePrica бэкдор оставался в системе этак точно продолжал оттиск за пользователями. детали проведенного специалистами «Доктор Веб» изучения ПО ePrica изложены в размещенной на нашем медиа-сайте статье.

Вредоносное этак точно ненужное ПО для мобильных устройств

В начале месяца эксперты фирмы «Доктор Веб» заприметили троянца-загрузчика Android.DownLoader.558.origin в известной игре BlazBlue, доступной в каталоге гугл Play. данная вредная программа могла неприметно скачивать этак точно метать непроверенные составляющие приложений. потом вирусные аналитики изучили небезопасного троянца Android.BankBot.211.origin. Он мог заправлять зараженными мобильными устройствами, похищал секретную банковскую информацию этак точно альтернативные тайные сведения, в частности пароли. В конце месяца вирусные аналитики выявили троянца Android.Triada.231, коего преступники встроили в одну из системных библиотек ОС Android этак точно расположили в прошивку нескольких моделей мобильных устройств. данная вредная программа внедрялась в процессы любых запускаемых программ этак точно неприметно запускала троянские модули.

Наиболее приметные события, связанные с «мобильной» безопасностью в июле:

  • обнаружение Android-троянца в прошивке нескольких моделей мобильных устройств;
  • выявление в каталоге гугл Play троянца-загрузчика;
  • появление банковского троянца, какой мог заправлять зараженными устройствами этак точно воровал секретную информацию.

Более детально о вирусной мебелировке для мобильных механизмов в июле читайте в нашем обзоре.

познайте все больше с Dr.Web

«Антивирусная правда» Обучающий направление Просветительские проекты Брошюры НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web