Вредоносный десант
17 ноября 2017
Интересное это слово дроппер (dropper). Им
обозначают и выводящего наличность из
банковского учета, и троянскую программу
для установки на компьютер жертвы другой
вредоносной программы.
Комментарий читателя к выпуску
Дропам - преступникам, выводящим «грязные» деньги, мы уже посвящали один выпуск. Но однокоренным словом «дроппер» называют еще и программу. Причем она занимается отнюдь не выводом денежных средств. Ее задача - обеспечить проникновение вредоносных программ на компьютеры и прочие устройства.
Типичный дроппер использовался, например, в составе WannaCry.
Дроппер червя WannaCry содержит большой защищенный паролем ZIP-архив, в котором хранится зашифрованный файл с троянцем-энкодером, обои Рабочего стола Windows с требованиями злоумышленников, файл с адресами onion-серверов и именем кошелька для приема биткойнов, а также архив с программами для работы в сети Tor.
Дроппер запускается из тела червя, устанавливается в систему, после чего пытается запустить свою копию в виде системной службы со случайным именем. Если это не удается, он выполняется, как обычная программа. Основная задача дроппера — сохранить на диск содержимое архива, а также расшифровать и запустить шифровальщик.
Дро́пперы (англ. Dropper — «бомбосбрасыватель») — вредоносные программы, назначением которых служит несанкционированная и скрытая от пользователя установка (запись на диск) на компьютер других вредоносных программ (или других частей вредоносного комплекса), содержащихся в самом теле дроппера.
Бэкдор распространяется с помощью дроппера, представленного в виде документа Microsoft Excel, в который встроен специальный макрос.
Макрос собирает по байтам и запускает самораспаковывающийся архив. В архиве, в свою очередь, содержится исполняемый файл, позаимствованный злоумышленниками из комплекта поставки популярного продукта корпорации Symantec. Этот файл имеет действительную цифровую подпись Symantec и в момент своего запуска загружает в память компьютера динамическую библиотеку, где и реализованы основные вредоносные функции троянца.
Именно способ доставки «полезной нагрузки» отличает дроппер от другой вредоносной программы – загрузчика, который загружает вредоносные компоненты по сети.
Вот однодневный «улов»:
И это только одно семейство – MulDrop!
Как правило, дроппер – это троянская программа. Сама по себе она никого заразить не может – ее кто-то должен доставить на компьютер и запустить.
Trojan.MulDrop6.48664, устанавливает на атакуемый компьютер уже известную вредоносную программу BackDoor.TeamViewer.49. На сей раз злоумышленники замаскировали дроппера под приложение-опросник, распространяющийся якобы от имени одной из известных российских авиакомпаний.
Как и прочие троянские программы, дроппер можно «получить» по электронной почте, через браузер, сменный носитель, либо же в результате взлома компьютера.
При этом он может быть частью другой вредоносной программы, которая запускает его для записи данных на диск. Вот пример такого дроппера.
Дропперы предусмотрены для любых ОС, в том числе Windows, Linux и Android.
Дроппер написан с использованием открытой среды разработки Lazarus для компилятора Free Pascal и при запуске демонстрирует следующее диалоговое окно, в котором содержится упоминание устройств, предназначенных для выполнения операций с криптовалютой Bitcoin:
В теле данного дроппера в незашифрованном виде хранится второй компонент троянца — бэкдор.
Дропперы могут заражать не только операционные системы, но и конкретные приложения.
1C.Drop.1 написан с использованием кириллицы на встроенном языке программирования для приложений 1С.
Этот троянец распространялся в виде вложения в почтовые сообщения, ориентированные на бухгалтеров: к письмам был прикреплен файл внешней обработки для программы «1С:Предприятие». При его открытии 1C.Drop.1 рассылал свою копию по всем обнаруженным в базе 1С электронным адресам контрагентов компании, а потом запускал на инфицированном ПК опасного троянца-шифровальщика.
Опасность дропперов – в том, что непосредственно вредоносной деятельностью (если не считать таковой установку других программ) они не занимаются. И потому могут незаметно выполнить свою задачу и самоудалиться.
В первую очередь на атакуемом компьютере запускается дроппер, который сохраняет на диск и запускает программу-установщик. Одновременно с этим на зараженной машине запускается .bat-файл, предназначенный для удаления дроппера.
Антивирусная правДА! рекомендует
Дроппер – особо опасный вид вредоносных программ. В связи с тем, что его деятельность незаметна для пользователей, он может проникать в атакуемую систему снова и снова, используя незакрытые уязвимости и автоматически удаляясь после завершения заражения.
Для защиты от дропперов простого внимания и аккуратности недостаточно. В обязательном порядке необходим антивирус, установка всех обновлений безопасности и ограничение прав на установку новых программ.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
17:12:44 2018-08-03
Неуёмный Обыватель
07:13:19 2018-06-20
vasvet
20:21:07 2018-04-03
a13x
13:09:02 2017-12-13
dyadya_Sasha
16:28:37 2017-11-20
Ruslan
11:43:15 2017-11-20
nahimovec
13:34:31 2017-11-19
zsergey
08:56:44 2017-11-19
robot
15:15:09 2017-11-18
razgen
02:03:32 2017-11-18
Причем данная дыра имеется во всех версиях программы, выпущенных за последние 17 лет. Эта брешь получила идентификатор CVE-2017-11882. Компания советует всем пользователям, использующим для работы офисный пакет документов, в срочном порядке установить ноябрьские обновления.
http://freebrowsers.ru/news/2579/
Mehatronik
23:41:42 2017-11-17
В...а
22:39:43 2017-11-17
vla_va
22:32:19 2017-11-17
Геральт
22:10:44 2017-11-17
НинаК
22:03:46 2017-11-17
ek
21:49:51 2017-11-17
eaglebuk
21:30:47 2017-11-17
Альфа
21:20:06 2017-11-17
kva-kva
21:16:03 2017-11-17
Dvakota
20:44:17 2017-11-17
Yra.Ka.
20:30:49 2017-11-17
Andromeda
20:29:17 2017-11-17
mk.insta
19:52:30 2017-11-17
Альфа
19:41:34 2017-11-17
orw_mikle
19:27:58 2017-11-17
Littlefish
19:26:32 2017-11-17
Главное, чтобы компоненты защиты, которые работают в реальном времени, не были включены одновременно у двух разных антивирусов, если всё таки решитесь на такое.
Littlefish
19:19:39 2017-11-17
Вы видимо не совсем так поняли, в ZIP-архиве хранились обои Рабочего стола Windows [картинки, а не программа] с требованиями злоумышленников.
Littlefish
19:10:16 2017-11-17
Сергей
17:59:15 2017-11-17
Toma
17:33:34 2017-11-17
Шалтай Александр Болтай
17:25:47 2017-11-17
Damir
17:23:34 2017-11-17
kozinka.ru
16:38:29 2017-11-17
Masha
16:08:23 2017-11-17
La folle
15:58:53 2017-11-17
duduka
15:45:36 2017-11-17
samos
15:41:21 2017-11-17
Dmur
14:37:24 2017-11-17
sapfira
14:00:25 2017-11-17
Дмитрий
13:39:27 2017-11-17
Alexander
13:24:08 2017-11-17
Да, такая "малость" - всего лишь скрытно пронести на компьютер и установить вредоносную программу или хотя бы записать на диск ее "кусочек", а при следующих проходах донести недостающие части. И все, амба! Компьютер пляшет под чужую дудку.
И какие, оказывается, многообразные пути доставки этих дропперов-троянов.
Уже который раз с признательностью смотрю на установленный Dr.Web Security Space. Спасибо команде Dr.Web, вы этих дропперов прижучили!
Dropper - "как много в этом слове,
Того, что не понять нам до конца,
А кто сумел постичь его основы",
Нас оградит защитой навсегда.
(вспомнились стихи А.Койнова)
EvgenyZ
13:06:11 2017-11-17
vinnetou
13:04:29 2017-11-17
Rinat_64
12:55:25 2017-11-17
marisha-san
12:42:29 2017-11-17
SGES
12:18:51 2017-11-17
Oleg
12:13:08 2017-11-17
Mefch
11:40:44 2017-11-17
Татьяна
10:53:45 2017-11-17
user
10:41:06 2017-11-17