Методы обнаружения вирусов

2 февраля 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о появлении вредоносных программ семейства Trojan.OneX, которые при заражении компьютера рассылают спам в крупнейшей в мире социальной сети Facebook, а также через программы-мессенджеры. В настоящее время зафиксировано распространение двух модификаций этого троянца, незначительно различающихся по своим функциональным возможностям. Количество жертв злоумышленников при такой модели распространения может быть крайне велико.

Trojan.OneX работает только в 32-разрядной версии ОС Windows, в 64-разрядной ОС он завершает работу после загрузки с управляющего сервера текстового файла. После запуска на инфицированной машине Trojan.OneX.1 проверяет наличие своей копии в операционной системе, а затем расшифровывает из собственных ресурсов адрес удаленного сервера, с которого загружается специальный текстовый файл. Этот файл содержит несколько строк на английском языке вида «hahaha! http://goo.gl[…].jpeg», на которые впоследствии будут подменяться сообщения пользователя, отправляемые им в социальную сеть Facebook. Сообщения заменяются строчками из данного файла только в режиме чата, при этом отправка оригинального послания блокируется. Каждый час троянец загружает с удаленного сервера новый конфигурационный файл.

Trojan.OneX.1 ищет в операционной системе запущенные процессы с именами firefox, iexplore и IEXPLORE, при обнаружении полностью встраивается в них и перехватывает функции, отвечающие за отправку сообщений.

Вскоре после появления первой модификации троянца в распоряжении вирусных аналитиков компании «Доктор Веб» появился образец вредоносной программы, получившей название Trojan.OneX.2. В отличие от первой версии троянца вторая модификация Trojan.OneX использует для отправки сообщений популярные программы-мессенджеры с помощью процессов pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk, xfire.exe. В момент отправки сообщений на инфицированном компьютере блокируется мышь и клавиатура. В отличие от Trojan.OneX.1, Trojan.OneX.2 «умеет» работать с конфигурационными файлами в кодировке Unicode.

screen

Среди рассылаемых троянцами сообщений распространены ссылки на принадлежащие злоумышленникам поддельные сайты: один из них, в частности, имитирует оформление службы RapidShare. Пользователю предлагают скачать под видом изображения в формате JPEG zip-архив, в котором располагается Photo14.JPG.scr — исполняемый файл (Trojan.Packed.22289), содержащий в себе троянца BackDoor.IRC.Bot.1446. Эта троянская программа не только открывает злоумышленникам доступ к инфицированному компьютеру и способна похищать конфиденциальные данные, но и позволяет выполнять на зараженной машине различные команды, в частности, команду загрузки и установки других приложений. Примечательно: специалистами компании «Доктор Веб» были зафиксированы случаи распространения с помощью троянцев BackDoor.IRC.Bot самой вредоносной программы Trojan.OneX, которая, в свою очередь, способствует дальнейшему распространению BackDoor.IRC.Bot.

Сигнатуры данных угроз уже добавлены в вирусные базы Dr.Web, благодаря чему пользователи антивирусного ПО производства компании «Доктор Веб» полностью защищены от опасности заражения этими вредоносными программами.

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web