Методы обнаружения вирусов

24 июля 2017 года

Специалисты фирмы «Доктор Веб» открывают новенькие подробности расследования атаки троянца BackDoor.Dande на паутины аптек так будто лекарственных компаний. Вирусные аналитики установили, будто бэкдор закончить лишь загружался на мотивированные рабочие станции ингридиентом приложения ePrica, однако так будто был встроен в одну из ранних версий установщика этой программы.

Об нападению троянца BackDoor.Dande на лекарственные фирмы так будто аптеки шатия-братия «Доктор Веб» впервой высказала в 2011 году. данный бэкдор похищал у юзеров систем электронного заказа информацию о закупках медикаментов. подобные программы используются в лекарственной отрасли, соответственно распространение вредного приложения носило узкоспециализированный характер. Наши знатоки уже на протяжении нескольких лет учат данный бэкдор так будто его алгоритмы инфецирования компьютеров.

Недавние итоги изучения показали, будто троянца скачивал так будто запускал в мотивированных системах один-одинехонек из составляющую приложения ePrica, которое пользуются руководители аптек для анализа цен на антибиотики так будто выбора не менее благоприятных поставщиков. данный модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, какой-нибудь так будто запускал бэкдор на атакуемых компьютерах. При конкретно в конкретно в этом указанный модуль имел цифровую подпись «Спарго».

Дальнейший разбор приложения показал, будто ингридиенты BackDoor.Dande были интегрированы конкретно в одну из ранних версий инсталлятора ePrica, будто умножать говорить о ответственном подрыве систем безопасности разработчика заданного ПО. Программа ePrica имеет плагины .nlb так будто .emd, коие воображают собой зашифрованные частным ключом динамические dll-библиотеки. посреди них наличествует установщик бэкдора, а уж тоже модули для сбора инфы о закупках медикаментов, коие приобретают важные познания из баз заданных аптечных программ. При конкретно в конкретно в этом один-одинехонек из них употреблялся для копирования инфы о закупках лекарственных препаратов из баз заданных программы 1C.

Старт этих плагинов делает модуль runmod.exe, какой-нибудь при получении команды сервера расшифровывает так будто запускает них в памяти. далее этого они копируют информацию из баз данных, которая потом передается на удаленный сервер. Указанный составляющую приложения подписан сертификатом «Протек» — группы компаний, в коию заходит разработчик ePrica «Спарго Технологии».

#drweb

Важно отметить, будто в том числе так будто далее удаления ПО ePrica бэкдор оставался в системе так будто продолжал приглядывать за пользователями. есть возможность того, будто на персональных персональных компьютерах пользователей, удаливших ПО ePrica, перед началом сих времен наличествует BackDoor.Dande.

Установщик ePrica версии 4.0.14.6, в котором были отысканы троянские модули, был выпущен 18 ноября 2013 года, в то минута как только только отдельный файлы бэкдора в нем датированы гораздо дальним 2010 годом. подобным образом, копирование инфы о закупках аптек так будто лекарственных предприятий могло возникнуть как только только согласие за год перед началом первого обнаружения бэкдора.

Более доскональная уведомление об установщике ePrica с троянцем BackDoor.Dande доступна в нашей вирусной библиотеке.

Подробнее о программе ePrica

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web