4 июля 2017 года
В сообщениях утверждается, ровно первоначальное распространение глиста
Специалисты «Доктор Веб» направили забота на данный отправляться реестра в взаимоотношения с тем, ровно данный же стезя пользуется в собственной работе троянец-шифровальщик Trojan.Encoder.12703. разбор журнальчика антивируса Dr.Web, приобретенного с персонального компьютера единого из наших клиентов, показал, ровно энкодер Trojan.Encoder.12703 был запущен на инфицированной машине приложением ProgramDataMedocMedocezvit.exe, которое появляется ингридиентом программы M.E.Doc:
id: 425036, timestamp: 15:41:42.606, type: PsCreate (16), flags: 1 (wait: 1), cid: 1184/5796:DeviceHarddiskVolume3ProgramDataMedocMedocezvit.exe
source context: start addr: 0x7fef06cbeb4, image: 0x7fef05e0000:DeviceHarddiskVolume3WindowsMicrosoft.NETFramework64v2.0.50727mscorwks.dll
created process: DeviceHarddiskVolume3ProgramDataMedocMedocezvit.exe:1184 --> DeviceHarddiskVolume3WindowsSystem32cmd.exe:6328
bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0
curdir: C:UsersuserDesktop, cmd: "cmd.exe" /c %temp%wc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18o EJeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6 UGTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad9 2ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvD X0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra
status: signed_microsoft, script_vm, spc / signed_microsoft / clean
id: 425036 ==> allowed [2], time: 0.285438 ms
2017-Jun-27 15:41:42.626500 [7608] [INF] [4480] [arkdll]
id: 425037, timestamp: 15:41:42.626, type: PsCreate (16), flags: 1 (wait: 1), cid: 692/2996:DeviceHarddiskVolume3WindowsSystem32csrss.exe
source context: start addr: 0x7fefcfc4c7c, image: 0x7fefcfc0000:DeviceHarddiskVolume3WindowsSystem32csrsrv.dll
created process: DeviceHarddiskVolume3WindowsSystem32csrss.exe:692 --> DeviceHarddiskVolume3WindowsSystem32conhost.exe:7144
bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0
curdir: C:windowssystem32, cmd: ??C:windowssystem32conhost.exe "1955116396976855329-15661177171169773728-1552245407-149017856018122784351593218185"
status: signed_microsoft, spc / signed_microsoft / clean
id: 425037 ==> allowed [2], time: 0.270931 ms
2017-Jun-27 15:41:43.854500 [7608] [INF] [4480] [arkdll]
id: 425045, timestamp: 15:41:43.782, type: PsCreate (16), flags: 1 (wait: 1), cid: 1340/1612:DeviceHarddiskVolume3WindowsSystem32cmd.exe
source context: start addr: 0x4a1f90b4, image: 0x4a1f0000:DeviceHarddiskVolume3WindowsSystem32cmd.exe
created process: DeviceHarddiskVolume3WindowsSystem32cmd.exe:1340 --> DeviceHarddiskVolume3UsersuserAppDataLocalTempwc.exe:3648
bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0
curdir: C:UsersuserDesktop, cmd: C:UsersuserAppDataLocalTempwc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18oE JeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6U GTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad92 ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvDX 0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra
fileinfo: size: 3880448, easize: 0, attr: 0x2020, buildtime: 01.01.2016 02:25:26.000, ctime: 27.06.2017 15:41:42.196, atime: 27.06.2017 15:41:42.196, mtime: 27.06.2017 15:41:42.196, descr: wc, ver: 1.0.0.0, company: , oname: wc.exe
hash: 7716a209006baa90227046e998b004468af2b1d6 status: unsigned, pe32, new_pe / unsigned / unknown
id: 425045 ==> undefined [1], time: 54.639770 ms
Запрошенный с зараженной автомобиля файл ZvitPublishedObjects.dll имел тот же хэш, ровно так ровно исследованный в вирусной лаборатории «Доктор Веб» образец. подобным образом, наши аналитики пришли к выводу, ровно модуль обновления программы M.E.Doc, реализованный в пейзаже динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор. предстоящее изучение показало, ровно данный бэкдор множить делать в инфицированной системе последующие функции:
- сбор заданных для доступа к почтовым серверам;
- выполнение произвольных команд в инфицированной системе;
- загрузка на зараженный персональный компьютер произвольных файлов;
- загрузка, хранение так ровно пуск каких бы то ни было исполняемых файлов;
- выгрузка произвольных файлов на удаленный сервер.
Весьма увлекательным смотрится надлежащий отрывок кода модуля обновления M.E.Doc — он дает возможность лукать полезную нагрузку при поддержке утилиты rundll32.exe с параметром #1:
Именно подобным образом на персональных компьютерах жертв был запущен троянец-шифровальщик, популярный ровно NePetya, Petya.A, ExPetya так ровно WannaCry-2 (
В одном из своих интервью,
23 апреля 2024 года
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года