Методы обнаружения вирусов

29 июня 2017 года

Из всевозможных источников в вебе предстало известно, ровно заразивший куча компов по всему миру червь-шифровальщик Trojan.Encoder.12544, ведомый а также под именами Petya, Petya.A, ExPetya эдак ровно только WannaCry-2, проникал в операционную систему с применением программы обновления приложения MEDoc, предназначенного для ведения налогового учета. знатоки «Доктор Веб» уже встречали похожую методику распространения вредных программ до этого эдак ровно только знают, а уж уж уж ровно только избежать аналогичных инцидентов в будущем.

Аналитики, исследовавшие шифровальщик Trojan.Encoder.12544, сообщают, ровно начальным источником распространения троянца была система обновления программы MEDoc. данная программа может помочь украинским юзерам в ведении налогового учета. Исследователям получилось установить, ровно входящая в набор поставки MEDoc утилита EzVit.exe, предназначенная для обновления главного приложения, в конкретный время делала cmd-команду, по коей в память персонального компьютера загружалась вредная библиотека. В этой библиотеке реализован центральный функционал Trojan.Encoder.12544. эдак ровно только данный шифровальщик владеет возможностью собственноручно распространяться по паутины с применением уязвимости в протоколе SMB, а уж уж уж а также воровать учетные заданные юзеров Windows, для последующего распространения инфекции довольно только одной зараженной машины.

Еще в 2012 году вирусные аналитики фирмы «Доктор Веб» выявили целенаправленную атаку на паутина отечественных аптек эдак ровно только лекарственных компаний с применением вредной программы BackDoor.Dande. данный троянец-шпион похищал информацию о закупках медикаментов из предназначенных программ, коие имеют все шансы быть использованы в лекарственной индустрии. В время пуска бэкдор проверял, поставлены ли в системе соответственные приложения для заказа эдак ровно только учета закупок лекарств, и, в случае если они отсутствовали, прекращал свою работу. инфецированию подверглись наиболее 2800 аптек эдак ровно только отечественных лекарственных компаний. подобным образом, можно с конкретной полной утверждать, ровно BackDoor.Dande употреблялся в целях индустриального шпионажа.

Специалисты фирмы «Доктор Веб» провели расследование, длившееся цельных 4 года. Проанализировав жесткие диски, предоставленные одной из пострадавших от BackDoor.Dande фирм, вирусные аналитики установили дату создания драйвера, кой запускает баста другие ингридиенты бэкдора. Упоминания об конкретно в данном драйвере обнаружились в файле подкачки Windows эдак ровно только журнальчике антивируса Avast, кой был установлен на зараженной машине. рассмотрение этих файлов показал, ровно нездоровый драйвер был сотворен немедля же далее пуска приложения ePrica (D:ePricaAppPriceCompareLoader.dll). Это приложение, разработанное корпорацией «Спарго Технологии», разрешает руководителям аптек проанализировать расценки на лекарства эдак ровно только избрать рационального поставщика. исследование программы ePrica дозволило установить, ровно она загружает в память библиотеку, которая тайно скачивает, расшифровывает эдак ровно только запускает в памяти BackDoor.Dande. Троянец загружался с веб-сайта http://ws.eprica.ru, принадлежащего фирмы «Спарго Технологии» эдак ровно только предназначенного для обновления программы ePrica. При конкретно в данном модуль, тайно загружавший вредоносную программу, имел реальную цифровую подпись «Спарго». Похищенные заданные троянец загружал на серверы за пределами России. прочими словами, а уж уж уж ровно только эдак ровно только в ситуации с Trojan.Encoder.12544, бэкдор «прятался» в модуле обновления этой программы.

screenshot Trojan.Encoder.12544 #drweb

Сходство этих 2-ух случаев показывает, ровно инфраструктура разработки программного снабжения требует завышенного интереса к задачам информационной безопасности. спервоначала всего, процессы обновления хоть какого коммерческого ПО обязаны обретаться под пристальным интересом а уж уж уж ровно только самих разработчиков, эдак так ровно только пользователей. Утилиты обновления всевозможных программ, владеющие в операционной системе правами на инсталляцию эдак ровно только пуск исполняемых файлов, имеют все шансы внезапно сложение источником заражения. В случае с MEDoc к данному привел взлом злодеями эдак ровно только компрометация сервера, с коего загружались обновления, а уж уж уж в ситуации с BackDoor.Dande, а уж уж уж ровно только считают специалисты, к распространению инфекции привели намеренные деяния инсайдеров. средством экий способа преступники имеют все шансы одурачить эффективную мотивированную атаку напротив юзеров фактически хоть какого программного обеспечения.

Подробности о проведенном корпорацией "Доктор Веб" расследовании

Именно подобным образом на персональных компьютерах жертв был запущен троянец-шифровальщик, ведомый а уж уж уж ровно только NePetya, Petya.A, ExPetya эдак ровно только WannaCry-2 (Trojan.Encoder.12544).

В одном из своих интервью, которое было размещено на веб-сайте агентства Reuters, разработчики программы M.E.Doc высказали утверждение, ровно сотворенное ими приложение закончить содержит вредных функций. Исходя из этого, а уж уж уж а также учитывая заданные статического анализа кода, вирусные аналитики «Доктор Веб» пришли к выводу, ровно некоторые неустановленные преступники инфицировали один-одинехонек из ингридиент M.E.Doc вредной программой. данный ингридиент был добавлен в вирусные основы Dr.Web под именованием BackDoor.Medoc.

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web