Методы обнаружения вирусов

13 апреля 2017 года

Специалисты корпорации «Доктор Веб» закрепили рассылку спама с цельным набором вредных модулей, позволяющих надзирать за юзером настолько а уж а словно тащить секретную информацию.

Массовая рассылка вредных вложений по электронной почте — один-одинехонек из самых фаворитных способов распространения троянцев. преступники усердствуют собрать текст сообщения подобным образом, для того, чтобы получатель независимо раскрыл приложенный к письмецу файл, а уж а словно приведет к инфецированию компьютера.

В направление крайних нескольких дней по электронной почте интенсивно распространяются сообщения с темой «Оплату произвели» от имени некоей корпорации ООО «Глобальные Системы». письмеца содержат надлежащий текст (оригинальные синтаксис настолько а уж а словно правописание сохранены):

Добрый день!
Мы изготовили оплату 6 апреля, однако по который-нибудь то фактору ответа от вас закончить получили.
Просим в короткие сроки отшлифовать платеж настолько а уж а словно дать услуги, настолько а уж а словно у нас сроки смертельно поджимают.
Копию платежки настолько а уж а словно иных документов высылаем в прикрепленном архиве.
Просьба испытать корректность указанных реквизитов в платежке. умножать где-нибудь то была допущена промах настолько а уж а словно капиталы закончить поступили к для вас на счет. В взаимоотношения с тем самым подобная задержка.
С уважением,
ООО «Глобальные Системы»

screenshot #drweb

К письмецу прилагается картотека с именованием Платежка от ООО Глобальные Системы 6 апреля 2017 года.JPG.zip размером больше 4 МБ. Он содержит исполняемый файл с расширением .JPG[несколько 10-ов пробелов].exe, добавленный в вирусную основание Dr.Web под именованием Trojan.MulDrop7.24844. в случае если юзер попробует раскрыть это «изображение», программа запустится на выполнение.

Приложение воображает собой упакованный контейнер, какой сотворен с применением способностей языка Autoit. В минута старта данная программа проверяет, а уж а словно она запущена в единственном экземпляре, а уж там предохраняет на диск библиотеку для обхода системы контроля учетных записей юзера (UAC, User Account Control) в 32- настолько а уж а словно 64-разрядных версиях Windows настолько а уж а словно чуть иных файлов. там Trojan.MulDrop7.24844 индексирует себя в автозагрузке: в Windows XP — способом трансформации системного реестра, в больше современных версиях Windows — при поддержки Планировщика задач. а тоже троянец старается вынуть настолько а уж а словно оставить в текстовом файле пароли из браузеров гугл Chrome настолько а уж а словно мозилла Firefox.

Один из компонентов, какой Trojan.MulDrop7.24844 запускает на зараженном компьютере, — приложение для удаленного администрирования, детектируемое Антивирусом Dr.Web а уж а словно Program.RemoteAdmin.753.

Другой составляющую троянца а тоже воображает собой зашифрованный Autoit-контейнер с именованием xservice.bin, извлекающий на диск 2 исполняемых файла. Эти программы появляются 32- настолько а уж а словно 64-разрядной версиями утилиты Mimikatz, которая предопределена для перехвата паролей раскрытых сессий в Windows. Файл xservice.bin умножать иметься запущен с разными ключами, в зависимости от коих он готовит на инфицированном персональном персональном персональном компьютере те или же прочие действия:

ключОписание
-helpпоказать вероятные ключи (справочная уведомление выводится в неопознанной кодировке)
-screenделает копия экрана, предохраняет в файл с именованием Screen(<HOURS>_<MINUTES>).jpg (где <HOURS>_<MINUTES> - текущее смысл времени), выпячивает файлу атрибуты «скрытый» настолько а уж а словно «системный»
-wallpaper <path>меняет обои на указанные в параметре <path>
-opencdоткрывает CD-привод
-closecdзакрывает CD-привод
-offdesktopвыводит в консоль текст "Not working =("
-ondesktopвыводит в консоль текст "Not working =("
-rdpзапуск RDP (см. ниже)
-getipполучает айпишник инфицированной автомобиля с применением веб-сайта http://ident.me/
-msg <type> <title> <msg>создает диалоговое окно данного своего рода (err, notice, qst, inf) с указанным заголовком настолько а уж а словно текстом
-banurl <url>добавляет в файл %windir%System32driversetchosts строку облика "127.0.0.1 <url>", где-нибудь <url> - довод команды

Также это приложение активирует кейлоггер, записывающий в файл информацию о нажатых юзером клавишах, настолько а уж а словно образовывает в минута пуска копия экрана.

Троянец раскрывает злодеям удаленный доступ к зараженной машине по протоколу RDP (Remote Desktop Protocol). Для этого он скачивает с сервера Github настолько а уж а словно устанавливает на инфицированном персональном персональном персональном компьютере программу Rdpwrap с параметрами, обеспечивающими ее пуск в сокрытом режиме. Она детектируется Антивирусом Dr.Web а уж а словно Program.Rdpwrap. там Trojan.MulDrop7.24844 с поддержкой до этого сохраненной на диске утилиты Mimikatz старается приобрести пароль от учетной записи текущего пользователя, какой сберегается в системном реестре. данный пароль в предстоящем применяют для организации взаимоотношения с зараженным ПК. В итоге подобного несанкционированного включения преступники имеют все шансы приобрести толстый контроль над атакованным компьютером.

Сигнатура Trojan.MulDrop7.24844 добавлена в вирусную основание Dr.Web, соответственно троянец закончить воображает угрозы для наших пользователей. эксперты корпорации «Доктор Веб» призывают хозяев устройств, работающих под управлением Microsoft Windows, проявлять внимательность настолько а уж а словно закончить выказывать недоверчивые вложения в электронных письмах.

Подробнее о троянце

НОВОЕ НА САЙТЕ

Компания «НОВИВИДЕО» уже более пятнадцати лет представлена на рынке современного оборудования для видеонаблюдения. Именно благодаря большому опыту работы, а также использованию современных технологий, она и может похвастаться огромным количеством довольных […] 16 октября 2017 года

Бэкдорами общепринято величать вредные программы, могущие совершать поступающие от злоумышленников команды так насколько давать им же вероятность несанкционированного управления инфицированным устройством. Аналитики «Доктор Веб» изучили последний бэкдор, странность коего заключается в том, насколько он напечатан на языке Python.Горячая лента угроз и предупреждений о вирусной опасности!

16 октября 2017 года

Бэкдорами общеустановлено именовать вредные программы, могущие выполнять поступающие от злоумышленников команды так как-либо давать им же вероятность несанкционированного управления инфицированным устройством. Аналитики «Доктор Веб» обследовали новенький бэкдор, индивидуальность коего заключается в том, как-либо он напечатан на языке Pyt... Вирусные новости

12 октября 2017 года

Компания «Доктор Веб» уже публиковала материя о самых разных смешных артефактах, продающихся в российских интернет-магазинах, точно чудотворной нитке от сглаза либо устройства для экономии топлива в автомобиле на базе магнита хоть сло... Горячая лента угроз и предупреждений о вирусной опасности!

3 октября 2017 года

Компания «Доктор Веб» информирует об обновлении Windows-версии плагина Dr.Web для IBM Lotus Domino перед началом версии 11.0.3. Обновление связано с исправлением выявленной ошибки так что актуализацией документации администратора.

В Dr.Web для IBM Lotus Domino освеженной версии был модифицирован устройство декодирования MIME-... Антивирус Dr.Web