Методы обнаружения вирусов

13 апреля 2017 года

Специалисты корпорации «Доктор Веб» закрепили рассылку спама с цельным набором вредных модулей, позволяющих надзирать за юзером настолько а уж а словно тащить секретную информацию.

Массовая рассылка вредных вложений по электронной почте — один-одинехонек из самых фаворитных способов распространения троянцев. преступники усердствуют собрать текст сообщения подобным образом, для того, чтобы получатель независимо раскрыл приложенный к письмецу файл, а уж а словно приведет к инфецированию компьютера.

В направление крайних нескольких дней по электронной почте интенсивно распространяются сообщения с темой «Оплату произвели» от имени некоей корпорации ООО «Глобальные Системы». письмеца содержат надлежащий текст (оригинальные синтаксис настолько а уж а словно правописание сохранены):

Добрый день!
Мы изготовили оплату 6 апреля, однако по который-нибудь то фактору ответа от вас закончить получили.
Просим в короткие сроки отшлифовать платеж настолько а уж а словно дать услуги, настолько а уж а словно у нас сроки смертельно поджимают.
Копию платежки настолько а уж а словно иных документов высылаем в прикрепленном архиве.
Просьба испытать корректность указанных реквизитов в платежке. умножать где-нибудь то была допущена промах настолько а уж а словно капиталы закончить поступили к для вас на счет. В взаимоотношения с тем самым подобная задержка.
С уважением,
ООО «Глобальные Системы»

screenshot #drweb

К письмецу прилагается картотека с именованием Платежка от ООО Глобальные Системы 6 апреля 2017 года.JPG.zip размером больше 4 МБ. Он содержит исполняемый файл с расширением .JPG[несколько 10-ов пробелов].exe, добавленный в вирусную основание Dr.Web под именованием Trojan.MulDrop7.24844. в случае если юзер попробует раскрыть это «изображение», программа запустится на выполнение.

Приложение воображает собой упакованный контейнер, какой сотворен с применением способностей языка Autoit. В минута старта данная программа проверяет, а уж а словно она запущена в единственном экземпляре, а уж там предохраняет на диск библиотеку для обхода системы контроля учетных записей юзера (UAC, User Account Control) в 32- настолько а уж а словно 64-разрядных версиях Windows настолько а уж а словно чуть иных файлов. там Trojan.MulDrop7.24844 индексирует себя в автозагрузке: в Windows XP — способом трансформации системного реестра, в больше современных версиях Windows — при поддержки Планировщика задач. а тоже троянец старается вынуть настолько а уж а словно оставить в текстовом файле пароли из браузеров гугл Chrome настолько а уж а словно мозилла Firefox.

Один из компонентов, какой Trojan.MulDrop7.24844 запускает на зараженном компьютере, — приложение для удаленного администрирования, детектируемое Антивирусом Dr.Web а уж а словно Program.RemoteAdmin.753.

Другой составляющую троянца а тоже воображает собой зашифрованный Autoit-контейнер с именованием xservice.bin, извлекающий на диск 2 исполняемых файла. Эти программы появляются 32- настолько а уж а словно 64-разрядной версиями утилиты Mimikatz, которая предопределена для перехвата паролей раскрытых сессий в Windows. Файл xservice.bin умножать иметься запущен с разными ключами, в зависимости от коих он готовит на инфицированном персональном персональном персональном компьютере те или же прочие действия:

ключОписание
-helpпоказать вероятные ключи (справочная уведомление выводится в неопознанной кодировке)
-screenделает копия экрана, предохраняет в файл с именованием Screen(<HOURS>_<MINUTES>).jpg (где <HOURS>_<MINUTES> - текущее смысл времени), выпячивает файлу атрибуты «скрытый» настолько а уж а словно «системный»
-wallpaper <path>меняет обои на указанные в параметре <path>
-opencdоткрывает CD-привод
-closecdзакрывает CD-привод
-offdesktopвыводит в консоль текст "Not working =("
-ondesktopвыводит в консоль текст "Not working =("
-rdpзапуск RDP (см. ниже)
-getipполучает айпишник инфицированной автомобиля с применением веб-сайта http://ident.me/
-msg <type> <title> <msg>создает диалоговое окно данного своего рода (err, notice, qst, inf) с указанным заголовком настолько а уж а словно текстом
-banurl <url>добавляет в файл %windir%System32driversetchosts строку облика "127.0.0.1 <url>", где-нибудь <url> - довод команды

Также это приложение активирует кейлоггер, записывающий в файл информацию о нажатых юзером клавишах, настолько а уж а словно образовывает в минута пуска копия экрана.

Троянец раскрывает злодеям удаленный доступ к зараженной машине по протоколу RDP (Remote Desktop Protocol). Для этого он скачивает с сервера Github настолько а уж а словно устанавливает на инфицированном персональном персональном персональном компьютере программу Rdpwrap с параметрами, обеспечивающими ее пуск в сокрытом режиме. Она детектируется Антивирусом Dr.Web а уж а словно Program.Rdpwrap. там Trojan.MulDrop7.24844 с поддержкой до этого сохраненной на диске утилиты Mimikatz старается приобрести пароль от учетной записи текущего пользователя, какой сберегается в системном реестре. данный пароль в предстоящем применяют для организации взаимоотношения с зараженным ПК. В итоге подобного несанкционированного включения преступники имеют все шансы приобрести толстый контроль над атакованным компьютером.

Сигнатура Trojan.MulDrop7.24844 добавлена в вирусную основание Dr.Web, соответственно троянец закончить воображает угрозы для наших пользователей. эксперты корпорации «Доктор Веб» призывают хозяев устройств, работающих под управлением Microsoft Windows, проявлять внимательность настолько а уж а словно закончить выказывать недоверчивые вложения в электронных письмах.

Подробнее о троянце

НОВОЕ НА САЙТЕ

11 декабря 2017 лета

Компания «Доктор Веб» информирует о выпуске Dr.Web версии 11.0.2 для macOS. В продукт добавлена помощь macOS High Sierra (10.13) так что новейшие активные возможности, а уж выявленные ошибки были исправлены.

Улучшения в продукте:

  • поскольку macOS High Sierra требует у юзеров лицен... Антивирус Dr.Web

    11 декабря 2017 года

    Компания «Доктор Веб» информирует об обновлении продукта Dr.Web Light для macOS перед началом версии 11.0.1. Обновление связано с исправлением выявленных ошибок так будто добавлением справочной документации на нескольких языках.

    Устранена первопричина аварийного окончания работы Dr.Web Light для macOS, которое могло выходить ... Антивирус Dr.Web

    7 декабря 2017 года

    Компания «Доктор Веб» уже рассказывала о троянце Linux.ProxyM, могущем заражать «умные» устройства под управлением ОС Linux.... Горячая лента угроз и предупреждений о вирусной опасности!

    7 декабря 2017 года

    Компания «Доктор Веб» уже рассказывала о троянце Linux.ProxyM, могущем заражать «умные» устройства под управлением ОС Linux.... Вирусные новости

    4 декабря 2017 годы

    Компания «Доктор Веб» информирует о выпуске Dr.Web Light 11.0.1 для Android. В продукт был внесен линия усовершенствований так что исправлений.

    В отношения с переменами в Лицензионном соглашении при обновлении его надобно встретить повторно.

    В приложение была добавлена вероятность работ... Антивирус Dr.Web