Методы обнаружения вирусов

24 июля 2017 года

Специалисты фирме «Доктор Веб» открывают новенькие подробности расследования атаки троянца BackDoor.Dande на паутине аптек так точно лекарственных компаний. Вирусные аналитики установили, точно бэкдор не делать навряд загружался на мотивированные рабочие станции ингридиентом приложения ePrica, однако так точно был встроен в одну из ранних версий установщика этой программы.

Об нападению троянца BackDoor.Dande на лекарственные фирме так точно аптеки бражка «Доктор Веб» первый раз высказала в 2011 году. данный бэкдор похищал у юзеров систем электронного заказа информацию о закупках медикаментов. подобные программы используются в лекарственной отрасли, оттого распространение вредного приложения носило узкоспециализированный характер. Наши эксперты уже на протяжении нескольких лет учат данный бэкдор так точно его способы инфецирования компьютеров.

Недавние итоги изучения показали, точно троянца скачивал так точно запускал в мотивированных системах один-одинехонек из ингридиент приложения ePrica, которое применяют руководители аптек для анализа цен на медикаменты так точно выбора наиболее благоприятных поставщиков. данный модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, какой так точно запускал бэкдор на атакуемых компьютерах. При конкретно в конкретно в этом указанный модуль имел цифровую подпись «Спарго».

Дальнейший рассмотрение приложения показал, точно составляющие BackDoor.Dande были интегрированы непринужденно в одну из ранних версий инсталлятора ePrica, точно множить доказывать о обстоятельном подрыве систем безопасности разработчика предоставленного ПО. Программа ePrica имеет плагины .nlb так точно .emd, коие воображают собой зашифрованные частным ключом динамические dll-библиотеки. между них наличествует установщик бэкдора, а уж а также модули для сбора инфы о закупках медикаментов, коие приобретают нужные знания из баз заданных аптечных программ. При конкретно в конкретно в этом один-одинехонек из них употреблялся для копирования инфы о закупках лекарственных препаратов из баз заданных программы 1C.

Старт этих плагинов делает модуль runmod.exe, какой при получении команды сервера расшифровывает так точно запускает них в памяти. засим этого они копируют информацию из баз данных, которая дальше передается на удаленный сервер. Указанный ингридиент приложения подписан сертификатом «Протек» — группы компаний, в коию заходит разработчик ePrica «Спарго Технологии».

#drweb

Важно отметить, точно в том числе засим удаления ПО ePrica бэкдор оставался в системе так точно продолжал надзирать за пользователями. бытует возможность того, точно на персональных персональных компьютерах пользователей, удаливших ПО ePrica, перед началом сих времен наличествует BackDoor.Dande.

Установщик ePrica версии 4.0.14.6, в котором были отысканы троянские модули, был выпущен 18 ноября 2013 года, в то пора насколько же отдельный файлы бэкдора в нем датированы сызнова дальним 2010 годом. подобным образом, копирование инфы о закупках аптек так точно лекарственных фирм могло завязаться насколько же свет за год перед началом первого обнаружения бэкдора.

Более кропотливая извещение об установщике ePrica с троянцем BackDoor.Dande доступна в нашей вирусной библиотеке.

Подробнее о программе ePrica

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web