4 июля 2017 года
В сообщениях утверждается, точно первоначальное распространение глиста
Специалисты «Доктор Веб» направили отзывчивость на данный измерить реестра в отношения с тем, точно данный же дорогу применяет в собственной работе троянец-шифровальщик Trojan.Encoder.12703. рассмотрение журнальчика антивируса Dr.Web, приобретенного с персонального компьютера единого из наших клиентов, показал, точно энкодер Trojan.Encoder.12703 был запущен на инфицированной машине приложением ProgramDataMedocMedocezvit.exe, которое появляется ингридиентом программы M.E.Doc:
id: 425036, timestamp: 15:41:42.606, type: PsCreate (16), flags: 1 (wait: 1), cid: 1184/5796:DeviceHarddiskVolume3ProgramDataMedocMedocezvit.exe
source context: start addr: 0x7fef06cbeb4, image: 0x7fef05e0000:DeviceHarddiskVolume3WindowsMicrosoft.NETFramework64v2.0.50727mscorwks.dll
created process: DeviceHarddiskVolume3ProgramDataMedocMedocezvit.exe:1184 --> DeviceHarddiskVolume3WindowsSystem32cmd.exe:6328
bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0
curdir: C:UsersuserDesktop, cmd: "cmd.exe" /c %temp%wc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18o EJeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6 UGTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad9 2ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvD X0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra
status: signed_microsoft, script_vm, spc / signed_microsoft / clean
id: 425036 ==> allowed [2], time: 0.285438 ms
2017-Jun-27 15:41:42.626500 [7608] [INF] [4480] [arkdll]
id: 425037, timestamp: 15:41:42.626, type: PsCreate (16), flags: 1 (wait: 1), cid: 692/2996:DeviceHarddiskVolume3WindowsSystem32csrss.exe
source context: start addr: 0x7fefcfc4c7c, image: 0x7fefcfc0000:DeviceHarddiskVolume3WindowsSystem32csrsrv.dll
created process: DeviceHarddiskVolume3WindowsSystem32csrss.exe:692 --> DeviceHarddiskVolume3WindowsSystem32conhost.exe:7144
bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0
curdir: C:windowssystem32, cmd: ??C:windowssystem32conhost.exe "1955116396976855329-15661177171169773728-1552245407-149017856018122784351593218185"
status: signed_microsoft, spc / signed_microsoft / clean
id: 425037 ==> allowed [2], time: 0.270931 ms
2017-Jun-27 15:41:43.854500 [7608] [INF] [4480] [arkdll]
id: 425045, timestamp: 15:41:43.782, type: PsCreate (16), flags: 1 (wait: 1), cid: 1340/1612:DeviceHarddiskVolume3WindowsSystem32cmd.exe
source context: start addr: 0x4a1f90b4, image: 0x4a1f0000:DeviceHarddiskVolume3WindowsSystem32cmd.exe
created process: DeviceHarddiskVolume3WindowsSystem32cmd.exe:1340 --> DeviceHarddiskVolume3UsersuserAppDataLocalTempwc.exe:3648
bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0
curdir: C:UsersuserDesktop, cmd: C:UsersuserAppDataLocalTempwc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18oE JeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6U GTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad92 ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvDX 0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra
fileinfo: size: 3880448, easize: 0, attr: 0x2020, buildtime: 01.01.2016 02:25:26.000, ctime: 27.06.2017 15:41:42.196, atime: 27.06.2017 15:41:42.196, mtime: 27.06.2017 15:41:42.196, descr: wc, ver: 1.0.0.0, company: , oname: wc.exe
hash: 7716a209006baa90227046e998b004468af2b1d6 status: unsigned, pe32, new_pe / unsigned / unknown
id: 425045 ==> undefined [1], time: 54.639770 ms
Запрошенный с зараженной автомобиля файл ZvitPublishedObjects.dll имел тот же хэш, точно так точно исследованный в вирусной лаборатории «Доктор Веб» образец. подобным образом, наши аналитики пришли к выводу, точно модуль обновления программы M.E.Doc, реализованный в облике динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор. предстоящее изыскание показало, точно данный бэкдор помножать скорпулезно исполнять в инфицированной системе последующие функции:
- сбор заданных для доступа к почтовым серверам;
- выполнение произвольных команд в инфицированной системе;
- загрузка на зараженный комп произвольных файлов;
- загрузка, хранение так точно пуск каких бы то ни было исполняемых файлов;
- выгрузка произвольных файлов на удаленный сервер.
Весьма увлекательным смотрится надлежащий часть кода модуля обновления M.E.Doc — он дозволяет бросать полезную нагрузку при поддержке утилиты rundll32.exe с параметром #1:
Именно подобным образом на персональных компьютерах жертв был запущен троянец-шифровальщик, небезызвестный словно NePetya, Petya.A, ExPetya так точно WannaCry-2 (
В одном из своих интервью,
23 апреля 2024 года
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года