Методы обнаружения вирусов

13 апреля 2017 года

Специалисты корпорации «Доктор Веб» закрепили рассылку спама с цельным набором вредных модулей, позволяющих надзирать за юзером настолько а уж а словно тащить секретную информацию.

Массовая рассылка вредных вложений по электронной почте — один-одинехонек из самых фаворитных способов распространения троянцев. преступники усердствуют собрать текст сообщения подобным образом, для того, чтобы получатель независимо раскрыл приложенный к письмецу файл, а уж а словно приведет к инфецированию компьютера.

В направление крайних нескольких дней по электронной почте интенсивно распространяются сообщения с темой «Оплату произвели» от имени некоей корпорации ООО «Глобальные Системы». письмеца содержат надлежащий текст (оригинальные синтаксис настолько а уж а словно правописание сохранены):

Добрый день!
Мы изготовили оплату 6 апреля, однако по который-нибудь то фактору ответа от вас закончить получили.
Просим в короткие сроки отшлифовать платеж настолько а уж а словно дать услуги, настолько а уж а словно у нас сроки смертельно поджимают.
Копию платежки настолько а уж а словно иных документов высылаем в прикрепленном архиве.
Просьба испытать корректность указанных реквизитов в платежке. умножать где-нибудь то была допущена промах настолько а уж а словно капиталы закончить поступили к для вас на счет. В взаимоотношения с тем самым подобная задержка.
С уважением,
ООО «Глобальные Системы»

screenshot #drweb

К письмецу прилагается картотека с именованием Платежка от ООО Глобальные Системы 6 апреля 2017 года.JPG.zip размером больше 4 МБ. Он содержит исполняемый файл с расширением .JPG[несколько 10-ов пробелов].exe, добавленный в вирусную основание Dr.Web под именованием Trojan.MulDrop7.24844. в случае если юзер попробует раскрыть это «изображение», программа запустится на выполнение.

Приложение воображает собой упакованный контейнер, какой сотворен с применением способностей языка Autoit. В минута старта данная программа проверяет, а уж а словно она запущена в единственном экземпляре, а уж там предохраняет на диск библиотеку для обхода системы контроля учетных записей юзера (UAC, User Account Control) в 32- настолько а уж а словно 64-разрядных версиях Windows настолько а уж а словно чуть иных файлов. там Trojan.MulDrop7.24844 индексирует себя в автозагрузке: в Windows XP — способом трансформации системного реестра, в больше современных версиях Windows — при поддержки Планировщика задач. а тоже троянец старается вынуть настолько а уж а словно оставить в текстовом файле пароли из браузеров гугл Chrome настолько а уж а словно мозилла Firefox.

Один из компонентов, какой Trojan.MulDrop7.24844 запускает на зараженном компьютере, — приложение для удаленного администрирования, детектируемое Антивирусом Dr.Web а уж а словно Program.RemoteAdmin.753.

Другой составляющую троянца а тоже воображает собой зашифрованный Autoit-контейнер с именованием xservice.bin, извлекающий на диск 2 исполняемых файла. Эти программы появляются 32- настолько а уж а словно 64-разрядной версиями утилиты Mimikatz, которая предопределена для перехвата паролей раскрытых сессий в Windows. Файл xservice.bin умножать иметься запущен с разными ключами, в зависимости от коих он готовит на инфицированном персональном персональном персональном компьютере те или же прочие действия:

ключОписание
-helpпоказать вероятные ключи (справочная уведомление выводится в неопознанной кодировке)
-screenделает копия экрана, предохраняет в файл с именованием Screen(<HOURS>_<MINUTES>).jpg (где <HOURS>_<MINUTES> - текущее смысл времени), выпячивает файлу атрибуты «скрытый» настолько а уж а словно «системный»
-wallpaper <path>меняет обои на указанные в параметре <path>
-opencdоткрывает CD-привод
-closecdзакрывает CD-привод
-offdesktopвыводит в консоль текст "Not working =("
-ondesktopвыводит в консоль текст "Not working =("
-rdpзапуск RDP (см. ниже)
-getipполучает айпишник инфицированной автомобиля с применением веб-сайта http://ident.me/
-msg <type> <title> <msg>создает диалоговое окно данного своего рода (err, notice, qst, inf) с указанным заголовком настолько а уж а словно текстом
-banurl <url>добавляет в файл %windir%System32driversetchosts строку облика "127.0.0.1 <url>", где-нибудь <url> - довод команды

Также это приложение активирует кейлоггер, записывающий в файл информацию о нажатых юзером клавишах, настолько а уж а словно образовывает в минута пуска копия экрана.

Троянец раскрывает злодеям удаленный доступ к зараженной машине по протоколу RDP (Remote Desktop Protocol). Для этого он скачивает с сервера Github настолько а уж а словно устанавливает на инфицированном персональном персональном персональном компьютере программу Rdpwrap с параметрами, обеспечивающими ее пуск в сокрытом режиме. Она детектируется Антивирусом Dr.Web а уж а словно Program.Rdpwrap. там Trojan.MulDrop7.24844 с поддержкой до этого сохраненной на диске утилиты Mimikatz старается приобрести пароль от учетной записи текущего пользователя, какой сберегается в системном реестре. данный пароль в предстоящем применяют для организации взаимоотношения с зараженным ПК. В итоге подобного несанкционированного включения преступники имеют все шансы приобрести толстый контроль над атакованным компьютером.

Сигнатура Trojan.MulDrop7.24844 добавлена в вирусную основание Dr.Web, соответственно троянец закончить воображает угрозы для наших пользователей. эксперты корпорации «Доктор Веб» призывают хозяев устройств, работающих под управлением Microsoft Windows, проявлять внимательность настолько а уж а словно закончить выказывать недоверчивые вложения в электронных письмах.

Подробнее о троянце

НОВОЕ НА САЙТЕ

28 апреля 2017 года

Компания «Доктор Веб» информирует об обновлении обслуживания перехвата трафика Dr.Web Net filtering Service (11.1.11.04270) в ряде продуктов Dr.Web. Обновление связано с исправлением выявленной ошибки.

В освеженном Dr.Web Net filtering Service устранена дилемма с подключением на защищаемых персональных ком... Антивирус Dr.Web

28 апреля 2017 года

В апреле случилось стократ событий, связанных с информационной безопасностью. В начале месяца киберпреступники организовали вредоносную рассылку, с поддержкой коей разносился многокомпонентный троянец. Он специализирован для кражи с инфицированного персонального персонального персонального компьютера секретной информации. В середине апреля эксперты... Вирусные новости

28 апреля 2017 года

В апреле был найден Android-троянец, предназначенный для кибершпионажа. тоже в прошедшем месяце в каталоге гугл Play было выявлено чуточку банкеров, созданных для похищения секретной инфы так что кражи средств со счетов. один-одинехонек троянец был встроен в программы для просмотра видео из Интернета, иной воображал собой приложение-фонарик. Вирусные новости

26 апреля 2017 года

Компания «Доктор Веб» информирует об обновлении агента SpIDer Agent for Windows (11.0.12.04210), управляющего обслуживания Dr.Web Control Service (11.0.12.03240), сканера Dr.Web Scanner SE (11.0.8.04130), обслуживания перехвата трафика Dr.Web Net filtering Service (11.1.10.03140), антируткитного модуля Dr.Web Anti-rootkit API (11.1.9... Антивирус Dr.Web

20 апреля 2017 года

Компания «Доктор Веб» предостерегает об обнаружении новейшей уязвимости в пользующемся популярностью офисном пакете Microsoft Office. Она дозволяет злодеям загружать на атакуемый комп исполняемые файлы.

Уязвимость выявлена в приложении Microsoft Word. преступники разработали для нее деятельный эксплойт, пол... Горячая лента угроз и предупреждений о вирусной опасности!