Методы обнаружения вирусов

22 августа 2012 года

Несколько дней вспять фирма «Доктор Веб» — отечественный разработчик денег информационной безопасности — уже сообщала о том, словно устроители партнерской программы ZIPPRO начали разносить сообща с платными архивами вредное ПО. последующие изучения показали: преступники перестать ординарно включают в состав своих архивов вредные программы, для их загрузки они употребляют своего троянца, который, инфицировав персональный компьютер пользователя, разрешает скачивать с удаленных серверов остальные коварные приложения.

Мониторинг серверов партнерской программы ZIPPRO показал, что, кроме уже упомянутого раньше Trojan.Mayachok.1, пользователи, скачивающие платные архивы, приобретают в качестве «бесплатного дополнения» так ровно остальные вредные приложения. посреди их — существующее с 2011 годы дом троянцев, знаменитое под общим именованием Trojan.Zipro, создателями коих появляются устроители партнерской программы ZIPPRO.

При открытии архива Trojan.SMSSend, сотворенного с внедрением программного снабжения ZIPPRO, происходит загрузка зашифрованного так ровно сжатого исполняемого файла, кой запускается в минута прекращения работы главного модуля Trojan.SMSSend.

screen

screen

На приведенных выше иллюстрациях видно, словно нужная нагрузка скачивается с конкретного IP-адреса. элементарная испытание демонстрирует аксессуар этого адреса к партнерской программе ZIPPRO, словно натурально доказывает авторство предоставленного троянца.

screen

Еще одним доказательством авторства служит то обстоятельство, словно при попытке устремиться к заданному айпишнику в браузере раскрывается интернет-страница партнерской программы ZIPPRO.

screen

Запущенное в инфицированной системе приложение старается навалить в память персонального компьютера динамическую библиотеку, содержащую Trojan.Zipro. потом уже загруженный в память модуль начитает инсталляцию троянца в операционной системе: трансформирует системный реестр, формируя ответвление HKCUSOFTWAREWin32ServiceApp так ровно предохраняя туда шеренга конфигурационных параметров, записывает на диск файл троянской программы, индексирует дорогу к нему в отрасли реестра, отвечающей за автоматизированную загрузку приложений, так ровно запускает троянца на исполнение. При данном вредная программа перестать монтируется в операционной системе, в случае в случае в случае коли в ней уже установлен архитектор платных архивов ZIPPRO.

screen

Запустившись в операционной системе, Trojan.Zipro читает из реестра личные конфигурационные данные, устанавливает сплетение с принадлежащим злодеям удаленным сервером так ровно скачивает оттуда вредное приложение — посреди этаких был увиден перестать навряд упомянутый раньше Trojan.Mayachok.1. На тех же серверах, с коих исполняется загрузка этого вредного приложения, был найден коварный банковский троянец семейства Trojan.Carberp. в последствии завершения загрузки Trojan.Zipro запускает скачанную вредоносную программу. в случае в случае в случае коли попытка навалить вредное приложение с удаленного интернет-сайта перестать удалась, троянец удаляет себя из системы. На нынешний денек специалистам фирмы «Доктор Веб» безусловно чуть трансформаций Trojan.Zipro, сигнатуры коих добавлены в основы Dr.Web.

Компания «Доктор Веб» опять-таки как-то припоминает пользователям: загрузка платных архивов, детектируемых антивирусным ПО чисто Trojan.SMSSend, позарез опасна, так ровно заражение альтернативными вредоносными программами помножать стрястись уже в минута пуска того приложения, в том числе в случае в случае в случае коли юзер разом закроет окно платного архива. юзерам рекомендуется скачивать программное снабжение навряд из проверенных источников, подобных как, например, официальные веб-сайты разработчиков ПО. в случае в случае в случае коли вы стали жертвой злоумышленников, распространяющих сотворенные с поддержкой партнерской программы ZIPPRO приложения Trojan.SMSSend, фирма «Доктор Веб» советует для вас устремиться в региональный отдел милиции с заявлением об уголовном преступлении, связанном с изготовлением так ровно распространением партнерской программой ZIPPRO вредного программного обеспечения.

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web