Методы обнаружения вирусов

13 апреля 2017 года

Специалисты корпорации «Доктор Веб» закрепили рассылку спама с цельным набором вредных модулей, позволяющих надзирать за юзером настолько а уж а словно тащить секретную информацию.

Массовая рассылка вредных вложений по электронной почте — один-одинехонек из самых фаворитных способов распространения троянцев. преступники усердствуют собрать текст сообщения подобным образом, для того, чтобы получатель независимо раскрыл приложенный к письмецу файл, а уж а словно приведет к инфецированию компьютера.

В направление крайних нескольких дней по электронной почте интенсивно распространяются сообщения с темой «Оплату произвели» от имени некоей корпорации ООО «Глобальные Системы». письмеца содержат надлежащий текст (оригинальные синтаксис настолько а уж а словно правописание сохранены):

Добрый день!
Мы изготовили оплату 6 апреля, однако по который-нибудь то фактору ответа от вас закончить получили.
Просим в короткие сроки отшлифовать платеж настолько а уж а словно дать услуги, настолько а уж а словно у нас сроки смертельно поджимают.
Копию платежки настолько а уж а словно иных документов высылаем в прикрепленном архиве.
Просьба испытать корректность указанных реквизитов в платежке. умножать где-нибудь то была допущена промах настолько а уж а словно капиталы закончить поступили к для вас на счет. В взаимоотношения с тем самым подобная задержка.
С уважением,
ООО «Глобальные Системы»

screenshot #drweb

К письмецу прилагается картотека с именованием Платежка от ООО Глобальные Системы 6 апреля 2017 года.JPG.zip размером больше 4 МБ. Он содержит исполняемый файл с расширением .JPG[несколько 10-ов пробелов].exe, добавленный в вирусную основание Dr.Web под именованием Trojan.MulDrop7.24844. в случае если юзер попробует раскрыть это «изображение», программа запустится на выполнение.

Приложение воображает собой упакованный контейнер, какой сотворен с применением способностей языка Autoit. В минута старта данная программа проверяет, а уж а словно она запущена в единственном экземпляре, а уж там предохраняет на диск библиотеку для обхода системы контроля учетных записей юзера (UAC, User Account Control) в 32- настолько а уж а словно 64-разрядных версиях Windows настолько а уж а словно чуть иных файлов. там Trojan.MulDrop7.24844 индексирует себя в автозагрузке: в Windows XP — способом трансформации системного реестра, в больше современных версиях Windows — при поддержки Планировщика задач. а тоже троянец старается вынуть настолько а уж а словно оставить в текстовом файле пароли из браузеров гугл Chrome настолько а уж а словно мозилла Firefox.

Один из компонентов, какой Trojan.MulDrop7.24844 запускает на зараженном компьютере, — приложение для удаленного администрирования, детектируемое Антивирусом Dr.Web а уж а словно Program.RemoteAdmin.753.

Другой составляющую троянца а тоже воображает собой зашифрованный Autoit-контейнер с именованием xservice.bin, извлекающий на диск 2 исполняемых файла. Эти программы появляются 32- настолько а уж а словно 64-разрядной версиями утилиты Mimikatz, которая предопределена для перехвата паролей раскрытых сессий в Windows. Файл xservice.bin умножать иметься запущен с разными ключами, в зависимости от коих он готовит на инфицированном персональном персональном персональном компьютере те или же прочие действия:

ключОписание
-helpпоказать вероятные ключи (справочная уведомление выводится в неопознанной кодировке)
-screenделает копия экрана, предохраняет в файл с именованием Screen(<HOURS>_<MINUTES>).jpg (где <HOURS>_<MINUTES> - текущее смысл времени), выпячивает файлу атрибуты «скрытый» настолько а уж а словно «системный»
-wallpaper <path>меняет обои на указанные в параметре <path>
-opencdоткрывает CD-привод
-closecdзакрывает CD-привод
-offdesktopвыводит в консоль текст "Not working =("
-ondesktopвыводит в консоль текст "Not working =("
-rdpзапуск RDP (см. ниже)
-getipполучает айпишник инфицированной автомобиля с применением веб-сайта http://ident.me/
-msg <type> <title> <msg>создает диалоговое окно данного своего рода (err, notice, qst, inf) с указанным заголовком настолько а уж а словно текстом
-banurl <url>добавляет в файл %windir%System32driversetchosts строку облика "127.0.0.1 <url>", где-нибудь <url> - довод команды

Также это приложение активирует кейлоггер, записывающий в файл информацию о нажатых юзером клавишах, настолько а уж а словно образовывает в минута пуска копия экрана.

Троянец раскрывает злодеям удаленный доступ к зараженной машине по протоколу RDP (Remote Desktop Protocol). Для этого он скачивает с сервера Github настолько а уж а словно устанавливает на инфицированном персональном персональном персональном компьютере программу Rdpwrap с параметрами, обеспечивающими ее пуск в сокрытом режиме. Она детектируется Антивирусом Dr.Web а уж а словно Program.Rdpwrap. там Trojan.MulDrop7.24844 с поддержкой до этого сохраненной на диске утилиты Mimikatz старается приобрести пароль от учетной записи текущего пользователя, какой сберегается в системном реестре. данный пароль в предстоящем применяют для организации взаимоотношения с зараженным ПК. В итоге подобного несанкционированного включения преступники имеют все шансы приобрести толстый контроль над атакованным компьютером.

Сигнатура Trojan.MulDrop7.24844 добавлена в вирусную основание Dr.Web, соответственно троянец закончить воображает угрозы для наших пользователей. эксперты корпорации «Доктор Веб» призывают хозяев устройств, работающих под управлением Microsoft Windows, проявлять внимательность настолько а уж а словно закончить выказывать недоверчивые вложения в электронных письмах.

Подробнее о троянце

НОВОЕ НА САЙТЕ

21 февраля 2018 лета

Компания «Доктор Веб» информирует об обновлении управляющего обслуживания Dr.Web Control Service (11.0.31.01170 так что 11.0.30.01170), агента SpIDer Agent for Windows (11.0.24.01220), брандмауэра Dr.Web Firewall (11.1.8.12280), драйвера Dr.Web Firewall Driver (11.01.09.11030), обслуживания перехвата трафика Dr.Web Net filtering Se... Антивирус Dr.Web

15 февраля 2018 лета

Компания «Доктор Веб» информирует об обновлении продукта Dr.Web Security Space для Android перед началом версии 12.1.1. Обновление связано с исправлением выявленных ошибок.

В рамках обновления были устранены факторы аварийного окончания работы приложения на неких Android-устройствах.

Также был... Антивирус Dr.Web

8 февраля 2018 года

Информация о распространении троянца Android.CoinMine.15, знаменитого тоже под наименованием ADB.miner, возникла капельку дней вспять в блоге китайской компании, работающей в сфере информационной безопасности. По заданным китайских исслед... Горячая лента угроз и предупреждений о вирусной опасности!

8 февраля 2018 года

Информация о распространении троянца Android.CoinMine.15, популярного а уж уж а уж тоже под наименованием ADB.miner, возникла чуть-чуть дней вспять в блоге китайской компании, работающей в сфере информационной безопасности. По заданным ки... Вирусные новости

5 февраля 2018 года

Троянцы-энкодеры, шифрующие хранящиеся на зараженном устройстве файлы так будто требующие выкуп за них расшифровку, как так будто раньше воображают обстоятельную опасность. фирма «Доктор Веб» предостерегает юзеров о распространении еще одного подобного шифровальщика.

Троянец, вышеназванный авторами «GandCra... Горячая лента угроз и предупреждений о вирусной опасности!