4 июля 2017 года
В сообщениях утверждается, словно первоначальное распространение глиста
Специалисты «Доктор Веб» направили участливость на данный отправляться реестра в взаимоотношения с тем, словно данный же дорогу применяет в собственной работе троянец-шифровальщик Trojan.Encoder.12703. рассмотрение журнальчика антивируса Dr.Web, приобретенного с персонального компьютера 1-го из наших клиентов, показал, словно энкодер Trojan.Encoder.12703 был запущен на инфицированной машине приложением ProgramDataMedocMedocezvit.exe, которое появляется ингридиентом программы M.E.Doc:
id: 425036, timestamp: 15:41:42.606, type: PsCreate (16), flags: 1 (wait: 1), cid: 1184/5796:DeviceHarddiskVolume3ProgramDataMedocMedocezvit.exe
source context: start addr: 0x7fef06cbeb4, image: 0x7fef05e0000:DeviceHarddiskVolume3WindowsMicrosoft.NETFramework64v2.0.50727mscorwks.dll
created process: DeviceHarddiskVolume3ProgramDataMedocMedocezvit.exe:1184 --> DeviceHarddiskVolume3WindowsSystem32cmd.exe:6328
bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0
curdir: C:UsersuserDesktop, cmd: "cmd.exe" /c %temp%wc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18o EJeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6 UGTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad9 2ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvD X0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra
status: signed_microsoft, script_vm, spc / signed_microsoft / clean
id: 425036 ==> allowed [2], time: 0.285438 ms
2017-Jun-27 15:41:42.626500 [7608] [INF] [4480] [arkdll]
id: 425037, timestamp: 15:41:42.626, type: PsCreate (16), flags: 1 (wait: 1), cid: 692/2996:DeviceHarddiskVolume3WindowsSystem32csrss.exe
source context: start addr: 0x7fefcfc4c7c, image: 0x7fefcfc0000:DeviceHarddiskVolume3WindowsSystem32csrsrv.dll
created process: DeviceHarddiskVolume3WindowsSystem32csrss.exe:692 --> DeviceHarddiskVolume3WindowsSystem32conhost.exe:7144
bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0
curdir: C:windowssystem32, cmd: ??C:windowssystem32conhost.exe "1955116396976855329-15661177171169773728-1552245407-149017856018122784351593218185"
status: signed_microsoft, spc / signed_microsoft / clean
id: 425037 ==> allowed [2], time: 0.270931 ms
2017-Jun-27 15:41:43.854500 [7608] [INF] [4480] [arkdll]
id: 425045, timestamp: 15:41:43.782, type: PsCreate (16), flags: 1 (wait: 1), cid: 1340/1612:DeviceHarddiskVolume3WindowsSystem32cmd.exe
source context: start addr: 0x4a1f90b4, image: 0x4a1f0000:DeviceHarddiskVolume3WindowsSystem32cmd.exe
created process: DeviceHarddiskVolume3WindowsSystem32cmd.exe:1340 --> DeviceHarddiskVolume3UsersuserAppDataLocalTempwc.exe:3648
bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0
curdir: C:UsersuserDesktop, cmd: C:UsersuserAppDataLocalTempwc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18oE JeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6U GTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad92 ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvDX 0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra
fileinfo: size: 3880448, easize: 0, attr: 0x2020, buildtime: 01.01.2016 02:25:26.000, ctime: 27.06.2017 15:41:42.196, atime: 27.06.2017 15:41:42.196, mtime: 27.06.2017 15:41:42.196, descr: wc, ver: 1.0.0.0, company: , oname: wc.exe
hash: 7716a209006baa90227046e998b004468af2b1d6 status: unsigned, pe32, new_pe / unsigned / unknown
id: 425045 ==> undefined [1], time: 54.639770 ms
Запрошенный с зараженной автомобиля файл ZvitPublishedObjects.dll имел тот же хэш, словно так словно исследованный в вирусной лаборатории «Доктор Веб» образец. подобным образом, наши аналитики пришли к выводу, словно модуль обновления программы M.E.Doc, реализованный в образе динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор. предстоящее разыскание показало, словно данный бэкдор помножать исполнять в инфицированной системе надлежащие функции:
- сбор заданных для доступа к почтовым серверам;
- выполнение произвольных команд в инфицированной системе;
- загрузка на зараженный комп произвольных файлов;
- загрузка, хранение так словно пуск всех исполняемых файлов;
- выгрузка произвольных файлов на удаленный сервер.
Весьма увлекательным смотрится надлежащий отрывок кода модуля обновления M.E.Doc — он дает возможность шибать полезную нагрузку при поддержки утилиты rundll32.exe с параметром #1:
Именно подобным образом на персональных компьютерах жертв был запущен троянец-шифровальщик, популярный как-нибудь NePetya, Petya.A, ExPetya так словно WannaCry-2 (
В одном из своих интервью,
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года
1 апреля 2024 года
1 апреля 2024 года