Методы обнаружения вирусов

14 февраля 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении семейства троянских программ, добавленных в вирусные базы Dr.Web под наименованием BackDoor.Volk. Эти троянцы способны изменять содержимое файла hosts и выполнять на инфицированной машине поступающие от удаленного сервера злоумышленников команды. Интересно, что предположительной родиной этих троянцев является Южная Америка.

В течение последнего времени в вирусную лабораторию компании «Доктор Веб» поступил целый «выводок» троянцев семейства Volk, первым из которых стал BackDoor.Volk.1. Любопытно, что эта вредоносная программа написана на языке PHP, применяющемся в основном для создания скриптов и приложений, работающих на стороне сервера, и конвертирована в исполняемый код при помощи утилиты php2exe. Троянец модифицирует на зараженной машине файл hosts, отвечающий за сопоставление DNS-имен IP-адресам, а также способен загружать с удаленного узла и запускать на инфицированном ПК различные приложения.

Троянцы BackDoor.Volk способны объединяться в ботнеты, управляемые посредством специальной административной панели. В распоряжении аналитиков «Доктор Веб» имеется дамп базы данных управляющего сервера одного из ботнетов, построенных на базе BackDoor.Volk. Судя по записям в данной базе, в сети присутствует порядка 100 ботов, а география инфицированных машин чрезвычайно широка. Более всего заражений приходится на долю Чили (31%) и Уругвая (13%), далее следуют Перу (8%), Аргентина (4%) и Испания (3%). Меньше всего зараженных ПК расположено в США и Индии (по 2%), а также в Канаде, Колумбии и Бразилии (по 1%). Еще 34% инфицированных компьютеров территориально располагается в государстве под названием «Unknown» — в это число может входить и Россия.

BackDoor.Volk.2 в отличие от своего предшественника написан на Visual Basic и при обращении к удаленным узлам для передачи запросов использует метод POST, а не GET. Помимо загрузки и запуска приложений, а также подмены файла hosts, эта вредоносная программа обладает функционалом для проведения DDoS-атак и способна красть пароли от FTP-клиентов, установленных на инфицированном компьютере. Следует отметить, что модуль обмена данными с командным сервером в троянце BackDoor.Volk.2 явно позаимствован у другой вредоносной программы — BackDoor.Herpes, исходные коды которой появились в свободном доступе некоторое время назад.

BackDoor.Volk.3 и BackDoor.Volk.4 также написаны на Visual Basic и являются модификациями BackDoor.Volk.2: основные изменения касаются методов обмена информацией с управляющим сервером. Функционал этих троянцев в целом схож. Главная опасность для пользователя заключается в том, что благодаря возможной подмене файла hosts потенциальная жертва может быть обманом завлечена на созданные злоумышленниками фишинговые сайты, при этом способность троянца красть пароли от FTP-клиентов открывает перед вирусописателями возможность получения несанкционированного доступа к различным веб-сайтам. Сигнатуры, соответствующие всем известным на сегодняшний день модификациям BackDoor.Volk, добавлены в вирусные базы Dr.Web.

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web