Методы обнаружения вирусов

4 июля 2017 года

Аналитики фирме «Доктор Веб» изучили модуль обновления M.E.Doc так словно заприметили его причастность к распространению как-нибудь космос еще одной вредной программы. Напоминаем, что, по сообщениям независящих исследователей, источником недавнешней эпидемии червя-шифровальщика Trojan.Encoder.12544, еще известного под именами NePetya, Petya.A, ExPetya так словно WannaCry-2, предстал какой-то модуль обновления известной на территории Украины программы для ведения налоговой отчетности M.E.Doc.

В сообщениях утверждается, словно первоначальное распространение глиста Trojan.Encoder.12544 производилось с помощью известного приложения M.E.Doc, разработанного украинской корпорацией Intellect Service. В одном из модулей системы обновления M.E.Doc с именованием ZvitPublishedObjects.Server.MeCom вирусные аналитики «Доктор Веб» заприметили запись, соответственную свойственному ключу системного реестра Windows: HKCUSOFTWAREWC.

screenshot BackDoor.Medoc #drweb

Специалисты «Доктор Веб» направили участливость на данный отправляться реестра в взаимоотношения с тем, словно данный же дорогу применяет в собственной работе троянец-шифровальщик Trojan.Encoder.12703. рассмотрение журнальчика антивируса Dr.Web, приобретенного с персонального компьютера 1-го из наших клиентов, показал, словно энкодер Trojan.Encoder.12703 был запущен на инфицированной машине приложением ProgramDataMedocMedocezvit.exe, которое появляется ингридиентом программы M.E.Doc:

screenshot BackDoor.Medoc #drweb

id: 425036, timestamp: 15:41:42.606, type: PsCreate (16), flags: 1 (wait: 1), cid: 1184/5796:DeviceHarddiskVolume3ProgramDataMedocMedocezvit.exe

 source context: start addr: 0x7fef06cbeb4, image: 0x7fef05e0000:DeviceHarddiskVolume3WindowsMicrosoft.NETFramework64v2.0.50727mscorwks.dll

 created process: DeviceHarddiskVolume3ProgramDataMedocMedocezvit.exe:1184 --> DeviceHarddiskVolume3WindowsSystem32cmd.exe:6328

 bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0

 curdir: C:UsersuserDesktop, cmd: "cmd.exe" /c %temp%wc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18o EJeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6 UGTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad9 2ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvD X0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra

 status: signed_microsoft, script_vm, spc / signed_microsoft / clean

id: 425036 ==> allowed [2], time: 0.285438 ms

2017-Jun-27 15:41:42.626500 [7608] [INF] [4480] [arkdll]

id: 425037, timestamp: 15:41:42.626, type: PsCreate (16), flags: 1 (wait: 1), cid: 692/2996:DeviceHarddiskVolume3WindowsSystem32csrss.exe

 source context: start addr: 0x7fefcfc4c7c, image: 0x7fefcfc0000:DeviceHarddiskVolume3WindowsSystem32csrsrv.dll

 created process: DeviceHarddiskVolume3WindowsSystem32csrss.exe:692 --> DeviceHarddiskVolume3WindowsSystem32conhost.exe:7144

 bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0

 curdir: C:windowssystem32, cmd: ??C:windowssystem32conhost.exe "1955116396976855329-15661177171169773728-1552245407-149017856018122784351593218185"

 status: signed_microsoft, spc / signed_microsoft / clean

id: 425037 ==> allowed [2], time: 0.270931 ms

2017-Jun-27 15:41:43.854500 [7608] [INF] [4480] [arkdll]

id: 425045, timestamp: 15:41:43.782, type: PsCreate (16), flags: 1 (wait: 1), cid: 1340/1612:DeviceHarddiskVolume3WindowsSystem32cmd.exe

 source context: start addr: 0x4a1f90b4, image: 0x4a1f0000:DeviceHarddiskVolume3WindowsSystem32cmd.exe

 created process: DeviceHarddiskVolume3WindowsSystem32cmd.exe:1340 --> DeviceHarddiskVolume3UsersuserAppDataLocalTempwc.exe:3648

 bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0

 curdir: C:UsersuserDesktop, cmd: C:UsersuserAppDataLocalTempwc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18oE JeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6U GTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad92 ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvDX 0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra

 fileinfo: size: 3880448, easize: 0, attr: 0x2020, buildtime: 01.01.2016 02:25:26.000, ctime: 27.06.2017 15:41:42.196, atime: 27.06.2017 15:41:42.196, mtime: 27.06.2017 15:41:42.196, descr: wc, ver: 1.0.0.0, company: , oname: wc.exe

 hash: 7716a209006baa90227046e998b004468af2b1d6 status: unsigned, pe32, new_pe / unsigned / unknown

id: 425045 ==> undefined [1], time: 54.639770 ms

Запрошенный с зараженной автомобиля файл ZvitPublishedObjects.dll имел тот же хэш, словно так словно исследованный в вирусной лаборатории «Доктор Веб» образец. подобным образом, наши аналитики пришли к выводу, словно модуль обновления программы M.E.Doc, реализованный в образе динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор. предстоящее разыскание показало, словно данный бэкдор помножать исполнять в инфицированной системе надлежащие функции:

  • сбор заданных для доступа к почтовым серверам;
  • выполнение произвольных команд в инфицированной системе;
  • загрузка на зараженный комп произвольных файлов;
  • загрузка, хранение так словно пуск всех исполняемых файлов;
  • выгрузка произвольных файлов на удаленный сервер.

Весьма увлекательным смотрится надлежащий отрывок кода модуля обновления M.E.Doc — он дает возможность шибать полезную нагрузку при поддержки утилиты rundll32.exe с параметром #1:

screenshot BackDoor.Medoc #drweb

Именно подобным образом на персональных компьютерах жертв был запущен троянец-шифровальщик, популярный как-нибудь NePetya, Petya.A, ExPetya так словно WannaCry-2 (Trojan.Encoder.12544).

В одном из своих интервью, которое было размещено на веб-сайте агентства Reuters, разработчики программы M.E.Doc высказали утверждение, словно сотворенное ими приложение не делать содержит вредных функций. Исходя из этого, а уж еще учитывая заданные статического анализа кода, вирусные аналитики «Доктор Веб» пришли к выводу, словно некоторые неустановленные преступники инфицировали один-одинешенек из составляющую M.E.Doc вредной программой. данный составляющую был добавлен в вирусные основы Dr.Web под именованием BackDoor.Medoc.

Подробнее о троянце

НОВОЕ НА САЙТЕ

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web

1 апреля 2024 года

Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Android.HiddenAdsВирусные новости

1 апреля 2024 года

Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости

Main menu


Sub menu