Случайны выбор дневника Раскрыть/свернуть полный список возможностей


Найдено 292 сообщений
Cообщения с меткой

доктор веб - Самое интересное в блогах

Следующие 30  »
rss_rss_hh_new

«Доктор Веб»: M.E.Doc содержит бэкдор, дающий злоумышленникам доступ к компьютеру

Вторник, 04 Июля 2017 г. 19:54 (ссылка)

Аналитики компании «Доктор Веб» исследовали модуль обновления M.E.Doc и обнаружили его причастность к распространению как минимум еще одной вредоносной программы. Напоминаем, что, по сообщениям независимых исследователей, источником недавней эпидемии червя-шифровальщика Trojan.Encoder.12544, также известного под именами NePetya, Petya.A, ExPetya и WannaCry-2, стал именно модуль обновления популярной на территории Украины программы для ведения налоговой отчетности M.E.Doc.



В сообщениях утверждается, что первоначальное распространение червя Trojan.Encoder.12544 осуществлялось посредством популярного приложения M.E.Doc, разработанного украинской компанией Intellect Service. В одном из модулей системы обновления M.E.Doc с именем ZvitPublishedObjects.Server.MeCom вирусные аналитики «Доктор Веб» обнаружили запись, соответствующую характерному ключу системного реестра Windows: HKCU\SOFTWARE\WC.







Специалисты «Доктор Веб» обратили внимание на этот ключ реестра в связи с тем, что этот же путь использует в своей работе троянец-шифровальщик Trojan.Encoder.12703. Анализ журнала антивируса Dr.Web, полученного с компьютера одного из наших клиентов, показал, что энкодер Trojan.Encoder.12703 был запущен на инфицированной машине приложением ProgramData\Medoc\Medoc\ezvit.exe, которое является компонентом программы M.E.Doc:







id: 425036, timestamp: 15:41:42.606, type: PsCreate (16), flags: 1 (wait: 1), cid: 1184/5796:\Device\HarddiskVolume3\ProgramData\Medoc\Medoc\ezvit.exe



source context: start addr: 0x7fef06cbeb4, image: 0x7fef05e0000:\Device\HarddiskVolume3\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorwks.dll



created process: \Device\HarddiskVolume3\ProgramData\Medoc\Medoc\ezvit.exe:1184 --> \Device\HarddiskVolume3\Windows\System32\cmd.exe:6328



bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0



curdir: C:\Users\user\Desktop\, cmd: "cmd.exe" /c %temp%\wc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18o EJeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6 UGTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad9 2ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvD X0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra



status: signed_microsoft, script_vm, spc / signed_microsoft / clean



id: 425036 ==> allowed [2], time: 0.285438 ms



2017-Jun-27 15:41:42.626500 [7608] [INF] [4480] [arkdll]



id: 425037, timestamp: 15:41:42.626, type: PsCreate (16), flags: 1 (wait: 1), cid: 692/2996:\Device\HarddiskVolume3\Windows\System32\csrss.exe



source context: start addr: 0x7fefcfc4c7c, image: 0x7fefcfc0000:\Device\HarddiskVolume3\Windows\System32\csrsrv.dll



created process: \Device\HarddiskVolume3\Windows\System32\csrss.exe:692 --> \Device\HarddiskVolume3\Windows\System32\conhost.exe:7144



bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0



curdir: C:\windows\system32\, cmd: \??\C:\windows\system32\conhost.exe "1955116396976855329-15661177171169773728-1552245407-149017856018122784351593218185"



status: signed_microsoft, spc / signed_microsoft / clean



id: 425037 ==> allowed [2], time: 0.270931 ms



2017-Jun-27 15:41:43.854500 [7608] [INF] [4480] [arkdll]



id: 425045, timestamp: 15:41:43.782, type: PsCreate (16), flags: 1 (wait: 1), cid: 1340/1612:\Device\HarddiskVolume3\Windows\System32\cmd.exe



source context: start addr: 0x4a1f90b4, image: 0x4a1f0000:\Device\HarddiskVolume3\Windows\System32\cmd.exe



created process: \Device\HarddiskVolume3\Windows\System32\cmd.exe:1340 --> \Device\HarddiskVolume3\Users\user\AppData\Local\Temp\wc.exe:3648



bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0



curdir: C:\Users\user\Desktop\, cmd: C:\Users\user\AppData\Local\Temp\wc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18oE JeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6U GTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad92 ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvDX 0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra



fileinfo: size: 3880448, easize: 0, attr: 0x2020, buildtime: 01.01.2016 02:25:26.000, ctime: 27.06.2017 15:41:42.196, atime: 27.06.2017 15:41:42.196, mtime: 27.06.2017 15:41:42.196, descr: wc, ver: 1.0.0.0, company: , oname: wc.exe



hash: 7716a209006baa90227046e998b004468af2b1d6 status: unsigned, pe32, new_pe / unsigned / unknown



id: 425045 ==> undefined [1], time: 54.639770 ms




Запрошенный с зараженной машины файл ZvitPublishedObjects.dll имел тот же хэш, что и исследованный в вирусной лаборатории «Доктор Веб» образец. Таким образом, наши аналитики пришли к выводу, что модуль обновления программы M.E.Doc, реализованный в виде динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор. Дальнейшее исследование показало, что этот бэкдор может выполнять в инфицированной системе следующие функции:




  • сбор данных для доступа к почтовым серверам;

  • выполнение произвольных команд в инфицированной системе;

  • загрузка на зараженный компьютер произвольных файлов;

  • загрузка, сохранение и запуск любых исполняемых файлов;

  • выгрузка произвольных файлов на удаленный сервер.





Весьма интересным выглядит следующий фрагмент кода модуля обновления M.E.Doc — он позволяет запускать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1:







Именно таким образом на компьютерах жертв был запущен троянец-шифровальщик, известный как NePetya, Petya.A, ExPetya и WannaCry-2 (Trojan.Encoder.12544).



В одном из своих интервью, которое было опубликовано на сайте агентства Reuters, разработчики программы M.E.Doc высказали утверждение, что созданное ими приложение не содержит вредоносных функций. Исходя из этого, а также учитывая данные статического анализа кода, вирусные аналитики «Доктор Веб» пришли к выводу, что некие неустановленные злоумышленники инфицировали один из компонентов M.E.Doc вредоносной программой. Этот компонент был добавлен в вирусные базы Dr.Web под именем BackDoor.Medoc.



Подробнее о троянце



P.S. На Украине изъяли серверы у распространившей вирус Petya компании: www.rbc.ru/technology_and_media/04/07/2017/595bb1bc9a7947bc8356a6a3
Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/332444/

Комментарии (0)КомментироватьВ цитатник или сообщество
nurik3

Скачать Dr.Web CureIt! бесплатно

Суббота, 16 Января 2016 г. 13:21 (ссылка)


4065440_Surf_Anonymous_Free3 (700x433, 24Kb)



Бесплатная лечащая утилита Dr.Web CureIt!®


 


Бесплатное использование утилиты Dr.Web CureIt! допускается только для лечения собственного домашнего компьютера.


 


Dr.Web CureIt! может быть запущена в режиме усиленной защиты, который обеспечивает ее работу даже в случае блокировки Windows вредоносными программами.


 


В этом режиме Dr.Web CureIt! работает на защищенном рабочем столе, при этом использование других приложений невозможно. После запуска для продолжения работы в режиме усиленной защиты нажмите ОК, в обычном – Отмена.


Незаменимое средство для лечения компьютеров под управлением MS Windows 95OSR2/98/Me/NT 4.0/2000/XP/2003/2008/Vista/7 от вирусов, руткитов, троянских программ, шпионского ПО и разного рода вредоносных объектов, которые не «увидел» установленный на Вашем ПК антивирус.


C помощью Dr.Web CureIt! Вы сможете регулярно контролировать эффективность установленного на Вашем ПК антивируса и вовремя понять, не пора ли его сменить на Dr.Web.


Dr.Web CureIt! не требует установки, не конфликтует ни с одним антивирусом, а значит, на время сканирования не требуется отключать установленный антивирус другого производителя.


Dr.Web CureIt! cодержит самый последний набор дополнений к вирусной базе Dr.Web и обновляется один или несколько раз в час.


 


Dr.Web CureIt! автоматически определяет язык используемой ОС (в случае, если локальный язык не поддерживается, устанавливается английский язык). В настоящее время утилита поддерживает интерфейс на следующих 37 языках: русский, азербайджанский, английский, арабский, армянский, белорусский, болгарский, венгерский, вьетнамский, голландский, греческий, грузинский, испанский, итальянский, китайский (упрощ.), китайский (трад.), корейский, латышский, литовский, немецкий, норвежский, персидский (фарси), польский, португальский, сербский, словацкий, словенский, тайский, турецкий, узбекский, украинский, финский, французский, чешский, эсперанто, эстонский, японский.



 


БЕСПЛАТНАЯ РЕГИСТРАЦИЯ



Бесплатный чат!



СЕКС ЗНАКОМСТВА



Бесплатный



webcam секс



Зарабатывайте в интернете! Получите первые деньги уже сегодня!



Заработок на партнёрках



Заработок на партнёрках



1) Заработок на файлообменниках



2) Заработок на файлообменниках



Заработок на видеохостинге



Простой заработок в интернете

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
LisaB

Как убрать блокирующие окна? | Блог "Компьютер для начинающих" от Светланы Козловой

Воскресенье, 29 Ноября 2015 г. 19:11 (ссылка)
kurs-pc-dvd.ru/blog/novichk...-okna.html


С кем не случалось, что включаешь свой компьютер, а там окошечко с требованием

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Irina_khlebn

Если сайт вызывает подозрение, проверьте его

Среда, 02 Сентября 2015 г. 20:30 (ссылка)

Это цитата сообщения Лариса_Гурьянова Оригинальное сообщение

Если сайт вызывает подозрение, проверьте его



ПАМЯТКА НАЧИНАЮЩИМ БЛОГГЕРАМ


Если сайт вызывает подозрение, проверьте его

Все знают, что, оказавшись на вредоносных или мошеннических сайтах, легко можно заразиться, особенно если на компьютере или мобильном устройстве не установлен антивирус. Но можно ли этого избежать? Очень просто: если сайт вызывает подозрение, проверьте его на этой странице прежде, чем нажимать на неизвестную ссылку.

http://vms.drweb.ru/online/

Читать далее...
Метки:   Комментарии (1)КомментироватьВ цитатник или сообщество
Ла-почка

Android-троян загружает вредоносные приложения под видом входящих сообщений

Понедельник, 22 Июня 2015 г. 15:47 (ссылка)
ferra.ru/ru/techlife/news/2...57-origin/



Android-троян загружает вредоносные приложения под видом входящих сообщенийСпециалисты компании «Доктор Веб» обнаружили очередного мобильного троянца, который демонстрирует различные рекламные уведомления, ведущие к загрузке нежелательного и вредоносного ПО.

Читать далее...
Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Ла-почка

Доктор Веб: Опасный банковский троян угрожает пользователям Android

Воскресенье, 14 Июня 2015 г. 10:41 (ссылка)



Доктор Веб: Опасный банковский троян угрожает пользователям AndroidСпециалисты компании «Доктор Веб» обнаружили нового троянца, предназначенного для кражи денег с банковских счетов пользователей мобильных Android-устройств.

Читать далее...
Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Аноним

Среда, 01 Декабря 1970 г. 03:00 (ссылка)

Комментарии ()КомментироватьВ цитатник или сообщество

Следующие 30  »

<доктор веб - Самое интересное в блогах

Страницы: [1] 2 3 ..
.. 10

LiveInternet.Ru Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат
О проекте: помощь|контакты|разместить рекламу|версия для pda