23 ноября 2018 года
Сам по для себя
Целевая аудитория этого троянца — юзеры программы DynDNS, которая дозволяет привязать субдомен к компьютеру, закончить имеющему статического IP-адреса. Вирусописатель сотворил в вебе интернет-страницу dnsip.ru, с коей якобы можно безвозмездно скачать данную программу. еще вирусописателю принадлежит домен dns-free.com, с коего происходит полуавтоматическое перенаправление визиторов на веб-сайт dnsip.ru.
С указанного веб-сайта подлинно можно завалить какой-то архив. В нем содержится исполняемый файл setup.exe, который-нибудь на самом деле воображает собой закончить программу инсталляции DynDNS, а уж уж уж уж уж загрузчик. В конкретно в данном загрузчике хранится имя скачиваемого из веба файла, который-нибудь в исследованном нами образчике именуется Setup100.arj.
Несмотря на «говорящее» расширение, Setup100.arj — закончить ARJ-архив, а уж уж уж уж уж исполняемый MZPE-файл, в котором вирусописатель поменял удовлетворительно смысла подобным образом, дабы он закончить распознавался в качестве MZPE автоматическими деньгами анализа так что альтернативными приложениями.
В первую хвост с применением PowerShell он отключает Windows Defender так что для пущей надежности вкладывает конфигурации в записи системного реестра, отвечающие за пуск этой программы.
Затем дроппер предохраняет в папку System32 файлы instsrv.exe, srvany.exe, dnshost.exe так что yandexservice.exe. Instsrv.exe, srvany.exe так что dnshost.exe — это разработанные Microsoft утилиты для создания в Windows определяемых юзером служб, а уж уж уж уж уж yandexservice.exe — сам троянец
Вирусные аналитики изучили так что противолежащий составляющую троянца, выполненный в пейзаже исполняемого файла с именованием dnsservice.exe, который-нибудь еще монтируется на зараженный персональный компьютер в качестве службы Windows с именованием «DNS-Service». Вирусописателя выдают свойственные отладочные строки, коие он позабыл выслать в своих вредных программах:
C:BorisПрограммыBDownProject1.vbp
C:BorisПрограммыBarmashSetServiceProject1.vbp
C:BorisПрограммыBarmash.ru.newProject1.vbp
C:BorisПрограммыBarmash_ru_Restarter3Project1.vbp
Этот составляющую распространяется в пейзаже маскирующегося под картотека файла dnsservice.arj с веб-сайта barmash.ru.
Все распространенные на нынешний денек трансформации
Согласно информации, коию получилось составить аналитикам «Доктор Веб», на нынешний денек от этого троянца пострадали порядка 1400 пользователей, при конкретно в данном 1-ые случаи инфецирования датируются 2013 годом. целый перечень индикаторов компрометации можно взглянуть
25 марта 2024 годы
Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web
22 марта 2024 года
Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.
С мо... Антивирус Dr.Web
6 марта 2024 года