Методы обнаружения вирусов

31 июля 2017 года

Главное

Как правило, в середине годы нечасто происходят изрядные события в сфере информационной безопасности, но сегодняшний июль предстал исключением из этого правила. В начале месяца эксперты корпорации «Доктор Веб» нашли в приложении для организации электронного документооборота M.E.Doc полновесный бэкдор. чуток там вирусные аналитики установили родник распространения троянца BackDoor.Dande, воровавшего информацию о закупках медикаментов у лекарственных компаний. В конце месяца был установлен факт компрометации портала муниципальных услуг Российской Федерации (gosuslugi.ru). еще в июле было выявлено крошку небезопасных вредных программ для мобильной платформы Android.

ГЛАВНЫЕ веяния ИЮЛЯ

  • Обнаружение бэкдора в программе M.E.Doc
  • Выявление источника распространения бэкдора Dande
  • Компрометация портала госуслуг

Угроза месяца

Популярное на территории Украины приложение для организации электронного документооборота M.E.Doc было разработано корпорацией Intellect Service. В одном из компонент этого приложения, ZvitPublishedObjects.Server.MeCom, вирусные аналитики «Доктор Веб» нашли запись, надлежащую свойственному ключу системного реестра Windows: HKCUSOFTWAREWC.

#drweb

Этот же отправляться реестра пользовался в собственной работе троянец-шифровальщик Trojan.Encoder.12703. Вирусные аналитики обследовали файл журнальчика антивируса Dr.Web, приобретенного с персонального персонального компьютера 1-го из наших клиентов, примерно чисто установили, чисто данный энкодер был запущен на пострадавшей машине приложением ProgramDataMedocMedocezvit.exe, которое появляется ингридиентом программы M.E.Doc:

#drweb

Дальнейшее изучение программы показало, чисто в одной из ее библиотек — ZvitPublishedObjects.dll — содержится бэкдор, который-нибудь умножать скорпулезно надлежащие функции:

  • сбор заданных для доступа к почтовым серверам;
  • выполнение произвольных команд в инфицированной системе;
  • загрузка на зараженный персональный персональный комп произвольных файлов;
  • загрузка, хранение примерно чисто пуск каких бы то ни было исполняемых файлов;
  • выгрузка произвольных файлов на удаленный сервер.

Кроме того, модуль обновления M.E.Doc дозволяет пускать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1 — какой-нибудь примерно на инфицированных персональных персональных компьютерах примерно чисто был запущен Trojan.Encoder.12544. Подробнее о расследовании «Доктор Веб» читайте в размещенной на нашем медиа-сайте статье.

Статистика

По тем самым статистики Антивируса Dr.Web

#drweb

  • Trojan.DownLoader
    Семейство троянцев, специализированных для загрузки на атакуемый персональный персональный комп иных вредных приложений.
  • Trojan.InstallCore
    Семейство установщиков ненужных примерно чисто вредных приложений.
  • Trojan.BtcMine
    Семейство вредных программ, кои всекрете от юзера употребляют вычислительные ресурсы зараженного персонального персонального компьютера для добычи (майнинга) разнообразных криптовалют – например, Bitcoin.

По тем самым серверов статистики «Доктор Веб»

#drweb

  • JS.DownLoader
    Семейство вредных сценариев, напечатанных на языке JavaScript. Загружают примерно чисто ставят на персональный персональный комп иные вредные программы.
  • JS.Inject.3
    Семейство вредных сценариев, напечатанных на языке JavaScript. Встраивают нездоровый скрипт в HTML-код веб-страниц.
  • Trojan.InstallCore
    Семейство установщиков ненужных примерно чисто вредных приложений.
  • Trojan.DownLoader
    Семейство троянцев, специализированных для загрузки на атакуемый персональный персональный комп иных вредных приложений.
  • Trojan.PWS.Stealer
    Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей примерно чисто противоположный секретной информации.

Статистика вредных программ в почтовом трафике

#drweb

  • JS.DownLoader
    Семейство вредных сценариев, напечатанных на языке JavaScript. Загружают примерно чисто ставят на персональный персональный комп иные вредные программы.
  • JS.Inject.3
    Семейство вредных сценариев, напечатанных на языке JavaScript. Встраивают нездоровый скрипт в HTML-код веб-страниц.
  • Trojan.PWS.Stealer
    Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей примерно чисто противоположный секретной информации.
  • Trojan.Encoder.6218
    Представитель семейства троянцев-вымогателей, шифрующих файлы на персональном персональном персональном персональном компьютере примерно чисто требующих от жертвы выкуп за расшифровку.
  • Trojan.InstallCore
    Семейство установщиков ненужных примерно чисто вредных приложений.

По тем самым бота Dr.Web для Telegram

#drweb

  • Android.Locker.139.origin
    Представитель семейства Android-троянцев, специализированных для вымогательства. Они демонстрируют назойливое известие якобы о нарушении закона примерно чисто о последовавшей в отношения с тем самым блокировке мобильного устройства, для снятия коей юзеру предлагается платить конкретную сумму.
  • EICAR Test File
    Специальный текстовый файл, предназначенный для тестирования работоспособности антивирусов. шабаш антивирусные программы при обнаружении того файла обязаны реагировать на него в точности подобным же образом, будто в случае выявления какой-нибудь действительной компьютерной угрозы.
  • Joke.Locker.1.origin
    Программа-шутка для ОС Android, блокирующая дисплей мобильного устройства примерно чисто выводящая на него изображение «синего экрана смерти» ОС Windows (BSOD, Blue Screen of Death).
  • Android.SmsSend.20784
    Представитель семейства вредных программ, специализированных для отправки СМС-сообщений с завышенной тарификацией примерно чисто подписки юзеров на всевозможные платные контент-услуги примерно чисто сервисы.
  • Trojan.PWS.Stealer
    Семейство троянцев, специализированных для хищения на инфицированном персональном персональном персональном персональном компьютере паролей примерно чисто противоположный секретной информации.

Шифровальщики

#drweb

В июле в службу технической помощи корпорации «Доктор Веб» почаще итого обращались пользователи, пострадавшие от последующих трансформаций троянцев-шифровальщиков:

Dr.Web Security Space для Windows предохраняет от троянцев-шифровальщиков

Настрой-ка Dr.Web от шифровальщиков Обучающий направление О бесплатном восстановлении Dr.Web Rescue Pack

Опасные сайты

В направление июля 2017 годы в основу нерекомендуемых примерно чисто вредных веб-сайтов было добавлено 327 295 интернет-адресов.

Июнь 2017Июль 2017Динамика
+ 229 381+ 327 295+ 42,6%

В середине июля потенциально коварным для юзеров вдруг предстал портал муниципальных услуг Российской Федерации (gosuslugi.ru), на котором вирусные аналитики корпорации «Доктор Веб» нашли потенциально нездоровый код. данный код заставлял браузер хоть какого гостя интернет-сайта неприметно связываться с одним из не делать наименее 15 доменных адресов, зарегистрированных на неведомое приватное лицо, будто худо-бедно 5 из коих принадлежали нидерландским компаниям. В процессе динамической генерации вебстраницы сайта, к коей обращается пользователь, в код разметки веб-страниц добавляется контейнер <iframe>, позволяющий нагрузить либо спросить всевозможные сторонние заданные у браузера пользователя. шабаш уязвимости интернет-сайта gosuslugi.ru были устранены администрацией ресурса через крошку часов там публикации новости об данном инциденте.

Нерекомендуемые сайты

Другие события в сфере информационной безопасности

В 2011 году шатия-братия «Доктор Веб» сообщила о возникновении троянца BackDoor.Dande, шпионящего за лекарственными компаниями примерно чисто аптеками. изучив строгий диск, предоставленный одной из пострадавших организаций, вирусные аналитики установили, чисто троянца скачивал примерно чисто запускал в мотивированных системах одинехонек из компонент приложения ePrica, которое употребляют руководители аптек для анализа цен на антибиотики примерно чисто выбора предпочтительно подобающих поставщиков. данный модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, который-нибудь примерно чисто запускал бэкдор на атакуемых компьютерах. При данном указанный модуль имел цифровую подпись «Спарго».

Проведенный корпорацией «Доктор Веб» рассмотрение показал, чисто составляющие BackDoor.Dande были интегрированы непринужденно в одну из ранних версий инсталлятора ePrica. посреди модулей троянца наличествует установщик бэкдора, а уж еще составляющие для сбора инфы о закупках медикаментов, кои приобретают важные знания из баз заданных аптечных программ. При данном одинехонек из их употреблялся для копирования инфы о закупках лекарственных препаратов из баз заданных программы 1C. недурственно отметить, чисто в том числе там удаления ПО ePrica бэкдор оставался в системе примерно чисто продолжал топтать за пользователями. детали проведенного специалистами «Доктор Веб» изучения ПО ePrica изложены в размещенной на нашем медиа-сайте статье.

Вредоносное примерно чисто ненужное ПО для мобильных устройств

В начале месяца эксперты корпорации «Доктор Веб» нашли троянца-загрузчика Android.DownLoader.558.origin в известной игре BlazBlue, доступной в каталоге гугл Play. данная вредная программа могла неприметно скачивать примерно чисто пускать непроверенные составляющие приложений. там вирусные аналитики обследовали коварного троянца Android.BankBot.211.origin. Он мог распоряжаться зараженными мобильными устройствами, похищал секретную банковскую информацию примерно чисто иные тайные сведения, в частности пароли. В конце месяца вирусные аналитики выявили троянца Android.Triada.231, коего преступники встроили в одну из системных библиотек ОС Android примерно чисто расположили в прошивку нескольких моделей мобильных устройств. данная вредная программа внедрялась в процессы любых запускаемых программ примерно чисто неприметно запускала троянские модули.

Наиболее приметные события, связанные с «мобильной» безопасностью в июле:

  • обнаружение Android-троянца в прошивке нескольких моделей мобильных устройств;
  • выявление в каталоге гугл Play троянца-загрузчика;
  • появление банковского троянца, который-нибудь мог распоряжаться зараженными устройствами примерно чисто воровал секретную информацию.

Более детально о вирусной мебелировке для мобильных механизмов в июле читайте в нашем обзоре.

познайте предпочтительно с Dr.Web

«Антивирусная правда» Обучающий направление Просветительские проекты Брошюры НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web