Методы обнаружения вирусов

14 мая 2018 года

В конце марта корпорация «Доктор Веб» сообщила о распространении троянца, похищающего с зараженных механизмов файлы так будто другую секретную информацию. Наши вирусные аналитики обследовали чуть новеньких трансформаций этой вредной программы так будто выявили ее разработчика.

Специалисты фирме «Доктор Веб» исследовали чуть новеньких трансформаций троянца Trojan.PWS.Stealer.23012, распространявшегося по гиперссылкам в комментах к видеоклипам на пользующемся популярностью интернет-ресурсе YouTube. Эти ролики были приурочены к применению особых программ, облегчающих прохождение компьютерных игр, — читов так будто «трейнеров». Под общим пейзажем подобных приложений преступники так будто раздавали троянца-шпиона, оставляя с фальшивых аккаунтов комменты к видеоклипам со гиперссылкой на Яндекс.Диск. тоже эти вредные ссылки преступники интенсивно рекламировали в Twitter.

«Доктор Веб» провел вдогон так будто выявил создателя троянцев-шпионов #drweb

Все исследованные трансформации шпиона напечатаны на языке Python так будто преобразованы в исполняемый файл с поддержкой программы py2exe. Одна из новеньких версий этой вредной программы, получившая звание Trojan.PWS.Stealer.23370, сканирует диски инфицированного устройства в розысках сохраненных паролей так будто файлов cookies браузеров, основанных на Chromium. помимо того, настоящий троянец крадет информацию из мессенджера Telegram, FTP-клиента FileZilla, а уж уж уж уж уж тоже копирует файлы изображений так будто офисных документов по загодя данному списку. приобретенные заданные троянец упаковывает в картотека так будто предохраняет его на Яндекс.Диск.

Другая трансформация этого троянца-шпиона приобрела звание Trojan.PWS.Stealer.23700. данная вредная программа крадет пароли так будто файлы cookies из браузеров гугл Chrome, Opera, Яндекс.Браузер, Vivaldi, Kometa, Orbitum, Comodo, Amigo так будто Torch. помимо этого, троянец копирует файлы ssfn из подпапки config приложения Steam, а уж уж уж уж уж тоже данные, важные для доступа к учетной записи Telegram. помимо того, агент образовывает клоны изображений так будто документов, хранящихся на Рабочем столе Windows. Всю украденную информацию он упаковывает в картотека так будто загружает в пасмурное хранилище pCloud.

Третья трансформация шпиона приобрела звание Trojan.PWS.Stealer.23732. Дроппер этого троянца напечатан на языке Autoit, он предохраняет на диск так будто запускает чуть приложений, появляющихся ингридиентами вредной программы. раз из них воображает собой разведывательный модуль, будто так будто его предшественники, напечатанный на языке Python так будто перевоплощенный в исполняемый файл. Он крадет на инфицированном устройстве секретную информацию. баста другие составляющие троянца напечатаны на языке Go. раз из них сканирует диски в розысках папок, в коих поставлены браузеры, а уж уж уж уж уж ещё раз упаковывает похищенные заданные в архивы так будто загружает них в хранилище pCloud.

Для распространения этой трансформации стилера купившие его у вирусописателя преступники выдумали ещё один, перестать менее подлинный метод. Киберпреступники связывались с админами направленных на определенную тематику Telegram-каналов так будто предлагали им же же составить пост, посвященный якобы разработанной ими новейшей программе, так будто предлагали ее протестировать. По словам злоумышленников, данная программа разрешала в одно так будто тоже время включаться к нескольким аккаунтам Telegram на одном компьютере. На самом же деле под общим пейзажем полезного приложения они предлагали возможной жертве скачать троянца-шпиона.

«Доктор Веб» провел вдогон так будто выявил создателя троянцев-шпионов #drweb

«Доктор Веб» провел вдогон так будто выявил создателя троянцев-шпионов #drweb

В коде этих троянцев-шпионов вирусные аналитики заприметили информацию, позволившую найти создателя вредных программ. Вирусописатель скрывается под псевдонимом «Енот Погромист», при конкретно в этом он перестать навряд разрабатывает троянцев, однако так будто реализует них на одном пользующемся популярностью сайте.

«Доктор Веб» провел вдогон так будто выявил создателя троянцев-шпионов #drweb

Создатель троянцев-шпионов тоже ведет канал на YouTube, посвященный разработке вредного ПО, так будто имеет личную вебстраницу на GitHub, где-нибудь выкладывает начальный код своих вредных программ.

Специалисты «Доктор Веб» проанализировали заданные раскрытых источников так будто установили чуть электронных адресов разработчика этих троянцев, а уж уж уж уж уж тоже номер его мобильного телефона, к коему привязан применяемый для противоправной деятельности акк Telegram. помимо того, получилось выискать шеренга доменов, применяемых вирусописателем для распространения вредных программ, а уж уж уж уж уж тоже угадать город его проживания. На представленной дальше схеме показана пай выявленных связей «Енота Погромиста» с применяемыми им же же техническими ресурсами.

«Доктор Веб» провел вдогон так будто выявил создателя троянцев-шпионов #drweb

Логины так будто пароли от пасмурных хранилищ, в кои загружаются архивы с украденными файлами, «зашиты» в торс самих троянцев, будто разрешает без специального труда подсчитать так будто любых покупателей «Енота Погромиста», приобретавших у него вредное ПО. В главном это граждане нашей родины так будто Украины. отдельный из них применяют адреса электронной почты, по коим несложно угадать них вебстраницы в общественных паутинах так будто найти них действительную личность. Например, коллегам «Доктор Веб» получилось выяснить, будто многие клиенты «Енота Погромиста» используют так будто альтернативными троянцами-шпионами, кои продаются на подпольных форумах. должно отметить, будто еденичные клиенты оказались так разумны так будто сообразительны, будто запускали шпиона на своих личных компьютерах, вероятно, в попытке оценить его работу. В итоге них собственные файлы были загружены в пасмурные хранилища, заданные для доступа к коим перемножать без труда вынуть из тела троянца произвольный исследователь.

Специалисты фирме «Доктор Веб» напоминают, будто создание, применение так будто распространение вредных программ появляется преступлением, за которое сообразно ст. 273 УК РФ предвидено учить впритирку перед началом лишения свободы на срок перед началом четырех лет. тоже к клиентам так будто юзерам троянцев-шпионов применима статья 272 УК РФ «Неправомерный доступ к компьютерной информации».

#вирусописатель #троянец #вредоносное_ПО НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web