Методы обнаружения вирусов

23 ноября 2018 года

Как правило, преступники употребляют малость классических каналов распространения вредных программ, в главном – спам-рассылки. однако кое-когда видятся так что прочие подходы к дистрибуции компьютерных угроз, об одном из коих знатоки фирмы «Доктор Веб» рассказывают в этой статье.

Сам по для себя Trojan.Click3.27430 закончить воображает своеобразного интереса: это нормальный троянец-кликер для искусственной накрутки посещаемости веб-сайтов. неизмеримо любопытнее метод, применяемый злодеями для инсталляции этой вредной программы на устройства вероятных жертв.

Целевая аудитория этого троянца — юзеры программы DynDNS, которая дозволяет привязать субдомен к компьютеру, закончить имеющему статического IP-адреса. Вирусописатель сотворил в вебе интернет-страницу dnsip.ru, с коей якобы можно безвозмездно скачать данную программу. еще вирусописателю принадлежит домен dns-free.com, с коего происходит полуавтоматическое перенаправление визиторов на веб-сайт dnsip.ru.

screenshot Trojan.Click3.27430 #drweb

С указанного веб-сайта подлинно можно завалить какой-то архив. В нем содержится исполняемый файл setup.exe, который-нибудь на самом деле воображает собой закончить программу инсталляции DynDNS, а уж уж уж уж уж загрузчик. В конкретно в данном загрузчике хранится имя скачиваемого из веба файла, который-нибудь в исследованном нами образчике именуется Setup100.arj.

Несмотря на «говорящее» расширение, Setup100.arj — закончить ARJ-архив, а уж уж уж уж уж исполняемый MZPE-файл, в котором вирусописатель поменял удовлетворительно смысла подобным образом, дабы он закончить распознавался в качестве MZPE автоматическими деньгами анализа так что альтернативными приложениями.

screenshot Trojan.Click3.27430 #drweb

В первую хвост с применением PowerShell он отключает Windows Defender так что для пущей надежности вкладывает конфигурации в записи системного реестра, отвечающие за пуск этой программы.

Затем дроппер предохраняет в папку System32 файлы instsrv.exe, srvany.exe, dnshost.exe так что yandexservice.exe. Instsrv.exe, srvany.exe так что dnshost.exe — это разработанные Microsoft утилиты для создания в Windows определяемых юзером служб, а уж уж уж уж уж yandexservice.exe — сам троянец Trojan.Click3.27430. правнуки дроппер индексирует исполняемый файл yandexservice.exe, в котором так что реализованы точка вредные опции Trojan.Click3.27430, в качестве службы с именованием «YandexService». При конкретно в данном в процессе инсталляции настраивается полуавтоматический пуск этой службы сразу с загрузкой Windows. Сохранив на диске так что запустив вредоносную службу, дроппер устанавливает полноценное приложение DynDNS. подобным образом, коли после чего юзер решит деинсталлировать его с зараженного компьютера, полно удалена лишь сама программа DynDNS, а уж уж уж уж уж Trojan.Click3.27430 как так что раньше остается в системе так что продолжит свою вредоносную деятельность.

Вирусные аналитики изучили так что противолежащий составляющую троянца, выполненный в пейзаже исполняемого файла с именованием dnsservice.exe, который-нибудь еще монтируется на зараженный персональный компьютер в качестве службы Windows с именованием «DNS-Service». Вирусописателя выдают свойственные отладочные строки, коие он позабыл выслать в своих вредных программах:


C:BorisПрограммыBDownProject1.vbp 
C:BorisПрограммыBarmashSetServiceProject1.vbp
C:BorisПрограммыBarmash.ru.newProject1.vbp 
C:BorisПрограммыBarmash_ru_Restarter3Project1.vbp

Этот составляющую распространяется в пейзаже маскирующегося под картотека файла dnsservice.arj с веб-сайта barmash.ru.

screenshot Trojan.Click3.27430 #drweb

Все распространенные на нынешний денек трансформации Trojan.Click3.27430 распознаются так что удаляются Антивирусом Dr.Web, а уж уж уж уж уж веб-сайты dnsip.ru, dns-free.com так что barmash.ru были добавлены в основы нерекомендуемых интернет-ресурсов веб-антивируса SpIDer Gate.

Согласно информации, коию получилось составить аналитикам «Доктор Веб», на нынешний денек от этого троянца пострадали порядка 1400 пользователей, при конкретно в данном 1-ые случаи инфецирования датируются 2013 годом. целый перечень индикаторов компрометации можно взглянуть здесь.

Подробнее о троянце

#кликер #троянец НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web