Вы используете устаревший браузер!

Страница может отображаться некорректно.

СпецНаз (специальные названия)

СпецНаз (специальные названия)

Другие выпуски этой рубрики (56)
  • добавить в избранное
    Добавить в закладки

Вредоносный десант

Прочитали: 6584 Комментариев: 74 Рейтинг: 108

17 ноября 2017

Интересное это слово дроппер (dropper). Им
обозначают и выводящего наличность из
банковского учета, и троянскую программу
для установки на компьютер жертвы другой
вредоносной программы.

Комментарий читателя к выпуску

Дропам - преступникам, выводящим «грязные» деньги, мы уже посвящали один выпуск. Но однокоренным словом «дроппер» называют еще и программу. Причем она занимается отнюдь не выводом денежных средств. Ее задача - обеспечить проникновение вредоносных программ на компьютеры и прочие устройства.

Типичный дроппер использовался, например, в составе WannaCry.

Дроппер червя WannaCry содержит большой защищенный паролем ZIP-архив, в котором хранится зашифрованный файл с троянцем-энкодером, обои Рабочего стола Windows с требованиями злоумышленников, файл с адресами onion-серверов и именем кошелька для приема биткойнов, а также архив с программами для работы в сети Tor.

Дроппер запускается из тела червя, устанавливается в систему, после чего пытается запустить свою копию в виде системной службы со случайным именем. Если это не удается, он выполняется, как обычная программа. Основная задача дроппера — сохранить на диск содержимое архива, а также расшифровать и запустить шифровальщик.

http://news.drweb.ru/show/?i=11294

Дро́пперы (англ. Dropper — «бомбосбрасыватель») — вредоносные программы, назначением которых служит несанкционированная и скрытая от пользователя установка (запись на диск) на компьютер других вредоносных программ (или других частей вредоносного комплекса), содержащихся в самом теле дроппера.

Бэкдор распространяется с помощью дроппера, представленного в виде документа Microsoft Excel, в который встроен специальный макрос.

Макрос собирает по байтам и запускает самораспаковывающийся архив. В архиве, в свою очередь, содержится исполняемый файл, позаимствованный злоумышленниками из комплекта поставки популярного продукта корпорации Symantec. Этот файл имеет действительную цифровую подпись Symantec и в момент своего запуска загружает в память компьютера динамическую библиотеку, где и реализованы основные вредоносные функции троянца.

http://news.drweb.com/show/?c=5&i=9987&lng=ru

Именно способ доставки «полезной нагрузки» отличает дроппер от другой вредоносной программы – загрузчика, который загружает вредоносные компоненты по сети.

Вот однодневный «улов»:

#drweb

#drweb

И это только одно семейство – MulDrop!

Как правило, дроппер – это троянская программа. Сама по себе она никого заразить не может – ее кто-то должен доставить на компьютер и запустить.

Trojan.MulDrop6.48664, устанавливает на атакуемый компьютер уже известную вредоносную программу BackDoor.TeamViewer.49. На сей раз злоумышленники замаскировали дроппера под приложение-опросник, распространяющийся якобы от имени одной из известных российских авиакомпаний.

http://news.drweb.ru/show/?i=10119

Как и прочие троянские программы, дроппер можно «получить» по электронной почте, через браузер, сменный носитель, либо же в результате взлома компьютера.

При этом он может быть частью другой вредоносной программы, которая запускает его для записи данных на диск. Вот пример такого дроппера.

Дропперы предусмотрены для любых ОС, в том числе Windows, Linux и Android.

Дроппер написан с использованием открытой среды разработки Lazarus для компилятора Free Pascal и при запуске демонстрирует следующее диалоговое окно, в котором содержится упоминание устройств, предназначенных для выполнения операций с криптовалютой Bitcoin:

#drweb

В теле данного дроппера в незашифрованном виде хранится второй компонент троянца — бэкдор.

http://news.drweb.com/show/?c=5&i=9795&lng=ru

Дропперы могут заражать не только операционные системы, но и конкретные приложения.

1C.Drop.1 написан с использованием кириллицы на встроенном языке программирования для приложений 1С.

#drweb

Этот троянец распространялся в виде вложения в почтовые сообщения, ориентированные на бухгалтеров: к письмам был прикреплен файл внешней обработки для программы «1С:Предприятие». При его открытии 1C.Drop.1 рассылал свою копию по всем обнаруженным в базе 1С электронным адресам контрагентов компании, а потом запускал на инфицированном ПК опасного троянца-шифровальщика.

https://news.drweb.ru/show/review/?lng=ru&i=11093

Опасность дропперов – в том, что непосредственно вредоносной деятельностью (если не считать таковой установку других программ) они не занимаются. И потому могут незаметно выполнить свою задачу и самоудалиться.

В первую очередь на атакуемом компьютере запускается дроппер, который сохраняет на диск и запускает программу-установщик. Одновременно с этим на зараженной машине запускается .bat-файл, предназначенный для удаления дроппера.

http://news.drweb.ru/show/?i=10178

#вредоносное_ПО #терминология

Антивирусная правДА! рекомендует

Дроппер – особо опасный вид вредоносных программ. В связи с тем, что его деятельность незаметна для пользователей, он может проникать в атакуемую систему снова и снова, используя незакрытые уязвимости и автоматически удаляясь после завершения заражения.

Для защиты от дропперов простого внимания и аккуратности недостаточно. В обязательном порядке необходим антивирус, установка всех обновлений безопасности и ограничение прав на установку новых программ.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии

 
На страницу: