мойантивирус «Доктор Веб» предупреждает о вредоносной рассылке

13 апреля 2017 года

Специалисты корпорации «Доктор Веб» закрепили рассылку спама с цельным набором вредных модулей, позволяющих надзирать за юзером настолько а уж а словно тащить секретную информацию.

Массовая рассылка вредных вложений по электронной почте — один-одинехонек из самых фаворитных способов распространения троянцев. преступники усердствуют собрать текст сообщения подобным образом, для того, чтобы получатель независимо раскрыл приложенный к письмецу файл, а уж а словно приведет к инфецированию компьютера.

В направление крайних нескольких дней по электронной почте интенсивно распространяются сообщения с темой «Оплату произвели» от имени некоей корпорации ООО «Глобальные Системы». письмеца содержат надлежащий текст (оригинальные синтаксис настолько а уж а словно правописание сохранены):

Добрый день!

Мы изготовили оплату 6 апреля, однако по который-нибудь то фактору ответа от вас закончить получили.

Просим в короткие сроки отшлифовать платеж настолько а уж а словно дать услуги, настолько а уж а словно у нас сроки смертельно поджимают.

Копию платежки настолько а уж а словно иных документов высылаем в прикрепленном архиве. 

Просьба испытать корректность указанных реквизитов в платежке. умножать где-нибудь то была допущена промах настолько а уж а словно капиталы закончить поступили к для вас на счет. В взаимоотношения с тем самым подобная задержка.

С уважением,

ООО «Глобальные Системы»

К письмецу прилагается картотека с именованием Платежка от ООО Глобальные Системы 6 апреля 2017 года.JPG.zip размером больше 4 МБ. Он содержит исполняемый файл с расширением .JPG[несколько 10-ов пробелов].exe, добавленный в вирусную основание Dr.Web под именованием Trojan.MulDrop7.24844. в случае если юзер попробует раскрыть это «изображение», программа запустится на выполнение.

Приложение воображает собой упакованный контейнер, какой сотворен с применением способностей языка Autoit. В минута старта данная программа проверяет, а уж а словно она запущена в единственном экземпляре, а уж там предохраняет на диск библиотеку для обхода системы контроля учетных записей юзера (UAC, User Account Control) в 32- настолько а уж а словно 64-разрядных версиях Windows настолько а уж а словно чуть иных файлов. там Trojan.MulDrop7.24844 индексирует себя в автозагрузке: в Windows XP — способом трансформации системного реестра, в больше современных версиях Windows — при поддержки Планировщика задач. а тоже троянец старается вынуть настолько а уж а словно оставить в текстовом файле пароли из браузеров гугл Chrome настолько а уж а словно мозилла Firefox.

Один из компонентов, какой Trojan.MulDrop7.24844 запускает на зараженном компьютере, — приложение для удаленного администрирования, детектируемое Антивирусом Dr.Web а уж а словно Program.RemoteAdmin.753.

Другой составляющую троянца а тоже воображает собой зашифрованный Autoit-контейнер с именованием xservice.bin, извлекающий на диск 2 исполняемых файла. Эти программы появляются 32- настолько а уж а словно 64-разрядной версиями утилиты Mimikatz, которая предопределена для перехвата паролей раскрытых сессий в Windows. Файл xservice.bin умножать иметься запущен с разными ключами, в зависимости от коих он готовит на инфицированном персональном персональном персональном компьютере те или же прочие действия:

ключ	Описание
-help	показать вероятные ключи (справочная уведомление выводится в неопознанной кодировке)
-screen	делает копия экрана, предохраняет в файл с именованием Screen(<HOURS>_<MINUTES>).jpg (где <HOURS>_<MINUTES> - текущее смысл времени), выпячивает файлу атрибуты «скрытый» настолько а уж а словно «системный»
-wallpaper <path>	меняет обои на указанные в параметре <path>
-opencd	открывает CD-привод
-closecd	закрывает CD-привод
-offdesktop	выводит в консоль текст "Not working =("
-ondesktop	выводит в консоль текст "Not working =("
-rdp	запуск RDP (см. ниже)
-getip	получает айпишник инфицированной автомобиля с применением веб-сайта http://ident.me/
-msg <type> <title> <msg>	создает диалоговое окно данного своего рода (err, notice, qst, inf) с указанным заголовком настолько а уж а словно текстом
-banurl <url>	добавляет в файл %windir%System32driversetchosts строку облика "127.0.0.1 <url>", где-нибудь <url> - довод команды

Также это приложение активирует кейлоггер, записывающий в файл информацию о нажатых юзером клавишах, настолько а уж а словно образовывает в минута пуска копия экрана.

Троянец раскрывает злодеям удаленный доступ к зараженной машине по протоколу RDP (Remote Desktop Protocol). Для этого он скачивает с сервера Github настолько а уж а словно устанавливает на инфицированном персональном персональном персональном компьютере программу Rdpwrap с параметрами, обеспечивающими ее пуск в сокрытом режиме. Она детектируется Антивирусом Dr.Web а уж а словно Program.Rdpwrap. там Trojan.MulDrop7.24844 с поддержкой до этого сохраненной на диске утилиты Mimikatz старается приобрести пароль от учетной записи текущего пользователя, какой сберегается в системном реестре. данный пароль в предстоящем применяют для организации взаимоотношения с зараженным ПК. В итоге подобного несанкционированного включения преступники имеют все шансы приобрести толстый контроль над атакованным компьютером.

Сигнатура Trojan.MulDrop7.24844 добавлена в вирусную основание Dr.Web, соответственно троянец закончить воображает угрозы для наших пользователей. эксперты корпорации «Доктор Веб» призывают хозяев устройств, работающих под управлением Microsoft Windows, проявлять внимательность настолько а уж а словно закончить выказывать недоверчивые вложения в электронных письмах.

Подробнее о троянце

НОВОЕ НА САЙТЕ

23 апреля 2024 года

Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.

В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web

Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]

The post 25-26.05.24г. 10.00-15.00. III Всероссийский форум «БИЗН... Новости Безопастности

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web

Мой Антивирус