И так бывает
11 октября 2017
Как вы думаете, насколько интересна работа вирусных аналитиков? Каждый ли день им попадаются значимые, интересно написанные и, что немаловажно, работающие вредоносные программы?
«Нагрузки на вирусных аналитиков весьма велики, — говорит Игорь Данилов. — Поэтому во всем мире спрос на такого рода специалистов (они должны обладать уникальными знаниями) очень велик».
В новостях обычно говорят об угрозах, чем-то выделяющихся из общей массы. Например, о тех, что имеют интересные особенности или вызвали эпидемию. Но в руки аналитиков попадают не только «громкие» вредоносные файлы. Вот, например:
Специалистами CERT-UA проанализирован файл, который поступал в прикреплении к сообщению.
https://itc.ua/news/spetsialistyi-ce...datsii-po-zashhite-ot-nego/
Типичный метод распространения – через почту.
Скрипт, при наличии разрешения на выполнение js файлов на компьютере, загружает svc.exe и запускает его после определения даты на инфицированном компьютере, которая не должна быть больше 29.10.2017.
Письмо содержит скрипт, активация которого позволяет загрузить на компьютер исполняемый файл. Тоже ничего необычного.
После шифрования система не перезагружается, но на рабочем столе появляются файлы с изображением монет и временные файлы, как результат шифрования документов.
Во время выполнения файла-шифровальщика (svc.exe) создается также файл с произвольным названием (например, 623.ехе), который хранится на компьютере и выполняется как консольное приложение.
Шифровальщик эксплуатирует уязвимость CVE-2017-0263 в целях повышения привилегий.
И снова ничего особенного. Что же необычного в этом шифровальщике?
Выявлено, что шифровальщик файлов не функционирует, если в системе нет библиотеки msxml2.dll.
Он просто не работает. И такое тоже бывает! А на анализ такого «мусора» нам также приходится тратить время.
«Есть «интересные» образцы и сейчас. Но меня они не «цепляют». Да, реализация более сложная, да, технологически более совершенные. Но идей нет. Всё уже было создано до них.»
P.S. Описанный вредоносный файл определяется антивирусом Dr.Web как JS.Downloader.4232 и для наших пользователей опасности не представляет.
#вредоносное_ПОАнтивирусная правДА! рекомендует
На анализ в наш вирлаб приходит огромное количество вредоносных файлов. Они – дело рук как опытных, так и начинающих хакеров. Соответственно, разнится и качество написания вредоносных файлов. Вышеописанный случай – не единичный, это вполне характерная история. Она показывает, что вредоносные программы – не идеал качества. Однако, попав на компьютер, даже такая программа может вызвать непредсказуемые последствия.
Поэтому, насколько бы ни была безобидна вредоносная программа, пропускать ее на компьютер все равно нельзя.
Кстати. А что будет, если мы вдруг устанавливаем приложение, а оно просит, к примеру, ту же msxml2.dll?
Вот так. А теперь представьте, что произошло бы, если бы у нас не был установлен Dr.Web Security Space.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
zitkss
17:18:08 2019-05-11
Sashka
17:12:26 2019-05-04
Мой вывод: Надо иметь на всякий случай несколько антивирусных ПО.
Денисенко Павел Андреевич
21:38:46 2018-07-30
Неуёмный Обыватель
11:41:21 2018-06-23
Laventurier
13:46:36 2018-04-12
vasvet
01:14:48 2018-04-03
Истребитель Напитков
21:01:27 2018-03-01
alex-diesel
08:20:49 2018-02-25
Alexander
15:05:40 2018-02-24
Попутно натолкнулся на статью " Астротерфинг: на ручном управлении" (https://www.drweb.ru/pravda/issue/?number=65&lng=ru). Слово и понятие " Астротерфинг" для меня было незнакомо. Полагаю, сегодня этот способ "промывания мозгов" только усилил свое значение, а стало быть, и важность защиты от него.
paran
14:19:06 2017-12-20
zsergey
07:40:15 2017-10-14
Шалтай Александр Болтай
20:06:38 2017-10-12
Ruslan
17:48:38 2017-10-12
eaglebuk
13:42:35 2017-10-12
kozinka.ru
23:27:40 2017-10-11
GREII
22:57:18 2017-10-11
1milS
22:24:39 2017-10-11
vla_va
22:03:38 2017-10-11
В...а
21:46:00 2017-10-11
Mehatronik
21:34:24 2017-10-11
Dvakota
21:25:15 2017-10-11
Любитель пляжного футбола
21:15:48 2017-10-11
razgen
21:06:01 2017-10-11
Короткий выпуск? Так и должно быть. Это соответствует одной из основных целей и задач представления информации проекта "Антивирусная правДА!"
"«Антивирусная правДА!» — это информационный проект компании «Доктор Веб» в удобном микроформате."
......
"Мы ценим ваше время!"
https://www.drweb.ru/pravda/about/
Lia00
20:54:15 2017-10-11
НинаК
20:51:13 2017-10-11
razgen
20:50:53 2017-10-11
"Не легка и неказиста жизнь "Доктор-Вэб"-специалиста! Спасибо, ребята, за ваш труд!"
А вот с тем что "неказиста" я в корне не согласен.
orw_mikle
20:20:41 2017-10-11
sapfira
20:17:45 2017-10-11
Сергей
20:08:59 2017-10-11
Andromeda
20:04:22 2017-10-11
ek
19:55:22 2017-10-11
Альфа
19:26:57 2017-10-11
Damir
18:53:11 2017-10-11
Шалтай Александр Болтай
18:52:41 2017-10-11
kva-kva
18:35:27 2017-10-11
Toma
18:32:57 2017-10-11
mk.insta
17:14:57 2017-10-11
AxooxA
17:02:25 2017-10-11
Masha
16:37:41 2017-10-11
La folle
16:29:17 2017-10-11
Littlefish
16:12:07 2017-10-11
Littlefish
16:07:35 2017-10-11
Oleg
15:20:55 2017-10-11
Dobriy
15:06:34 2017-10-11
Serjik
14:54:25 2017-10-11
Dmur
14:52:30 2017-10-11
SGES
13:51:09 2017-10-11
vinnetou
13:32:38 2017-10-11
andylew
13:21:42 2017-10-11
Vlad
13:12:05 2017-10-11