Специалисты корпорации «Доктор Веб» открывают новенькие подробности расследования атаки троянца на паутине аптек так будто лекарственных компаний. Вирусные аналитики установили, будто бэкдор перестать лишь загружался на мотивированные рабочие станции ингридиентом приложения ePrica, однако так будто был встроен в одну из ранних версий установщика этой программы.
Об нападению троянца на лекарственные корпорации так будто аптеки бражка «Доктор Веб» впервинку высказала в 2011 году. данный бэкдор похищал у юзеров систем электронного заказа информацию о закупках медикаментов. подобные программы могут быть использованы в лекарственной отрасли, потому распространение вредного приложения носило узкоспециализированный характер. Наши эксперты уже на протяжении нескольких лет учат данный бэкдор так будто его алгоритмы инфецирования компьютеров.
Недавние итоги изучения показали, будто троянца скачивал так будто запускал в мотивированных системах одинешенек из составляющую приложения ePrica, которое употребляют руководители аптек для анализа цен на медикаменты так будто выбора больше нужных поставщиков. данный модуль загружал с сервера «Спарго Технологии» установщик , кой так будто запускал бэкдор на атакуемых компьютерах. При конкретно в конкретно в этом указанный модуль имел цифровую подпись «Спарго».
Дальнейший рассмотрение приложения показал, будто составляющие были интегрированы конкретно в одну из ранних версий инсталлятора ePrica, будто умножать говорить о обстоятельном подрыве систем безопасности разработчика предоставленного ПО. Программа ePrica имеет плагины .nlb так будто .emd, кои воображают собой зашифрованные частным ключом динамические dll-библиотеки. посреди них наличествует установщик бэкдора, а уж также модули для сбора инфы о закупках медикаментов, кои приобретают нужные познания из баз заданных аптечных программ. При конкретно в конкретно в этом одинешенек из них употреблялся для копирования инфы о закупках лекарственных препаратов из баз заданных программы 1C.
Старт этих плагинов делает модуль runmod.exe, кой при получении команды сервера расшифровывает так будто запускает них в памяти. впоследствии этого они копируют информацию из баз данных, которая внуки передается на удаленный сервер. Указанный составляющую приложения подписан сертификатом «Протек» — группы компаний, в коию заходит разработчик ePrica «Спарго Технологии».
Важно отметить, будто в том числе так ровно впоследствии удаления ПО ePrica бэкдор оставался в системе так будто продолжал оттиск за пользователями. бытует возможность того, будто на персональных персональных компьютерах пользователей, удаливших ПО ePrica, перед началом сих времен наличествует .
Установщик ePrica версии 4.0.14.6, в котором были отысканы троянские модули, 18 ноября 2013 года, в то час сколько кое-какие файлы бэкдора в нем датированы также дальним 2010 годом. подобным образом, копирование инфы о закупках аптек так будто лекарственных фирм могло затеяться сколько вселенная за год перед началом бэкдора.
Более исчерпывающая сообщение об установщике ePrica с троянцем доступна в нашей вирусной библиотеке.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web