Your browser is obsolete!

The page may not load correctly.

Defend what you create

Other Resources

Zamknij

Profile
Library
My library

+ Add to library

Contact us
24/7 Tech support

Send a message

Call us

+7 (495) 789-45-86

Forum

Przegląd aktywności wirusów w lipcu 2017 według Doctor Web

31 lipca 2017

Przegląd

Zazwyczaj w środku lata znaczące wydarzenia z zakresu bezpieczeństwa informacji są dość rzadkie, jednak lipiec 2017 był tu wyjątkiem. Na początku miesiąca specjaliści Doctor Web wykryli backdoora w aplikacji do zarządzania elektronicznym obiegiem dokumentów zwanej M.E.Doc. Później analitycy bezpieczeństwa określili źródło dystrybucji wirusa BackDoor.Dande, który wykradał z firm farmaceutycznych informacje na temat zamówień leków i innych medykamentów. Pod koniec miesiąca wykryto narażenie na niebezpieczeństwo Portalu Usługowego Rządu Federacji Rosyjskiej (gosuslugi.ru). Również w lipcu wykryto kilka nowych, niebezpiecznych złośliwych programów dla Androida.

Główne trendy lipca

  • Wykrycie backdoora w programie o nazwie M.E.Doc
  • Wykrycie źródła backdoora Dande
  • Narażenie na niebezpieczeństwo Portalu Usług Rządowych

Zagrożenie miesiąca

M.E.Doc to popularna na Ukrainie aplikacja do zarządzania elektronicznym obiegiem dokumentów. Została ona opracowana przez firmę Intellect Service. Analitycy bezpieczeństwa Doctor Web wykryli, że jeden z komponentów M.E.Doc, ZvitPublishedObjects.Server.MeCom, zawierał rekord odpowiadający następującemu kluczowi rejestru systemowego Windows: HKCU\SOFTWARE\WC.

#drweb

Trojan.Encoder.12703 używa do swojego działania tego samego klucza rejestru. Analitycy bezpieczeństwa przebadali dziennik zdarzeń Antywirusa Dr.Web pozyskany z jednego z komputerów należących do naszego klienta i wykryli, że ten enkoder został uruchomiony na zainfekowanej maszynie przez aplikację ProgramData\Medoc\Medoc\ezvit.exe, która jest komponentem programu M.E.Doc:

#drweb

Dalsze badania programu pokazały, że jedna z jego bibliotek — ZvitPublishedObjects.dll — zawiera backdoora który potrafi wykonywać następujące funkcje:

Oprócz tego, moduł aktualizacyjny M.E.Doc pozwala na uruchomienie “arsenału” wirusa z użyciem narzędzia rundll32.exe z parametrem #1 — jest to sposób w który Trojan.Encoder.12544 został uruchomiony na zainfekowanych komputerach. Aby uzyskać więcej informacji na ten temat, zajrzyj do artykułu opublikowanego na naszej stronie www.

Statystyki

Najpopularniejsze zagrożenia na podstawie statystyk Antywirusa Dr.Web

#drweb

Najpopularniejsze zagrożenia na podstawie danych z serwerów statystyk Doctor Web

#drweb

Statystyki dotyczące złośliwych programów wykrytych w ruchu poczty elektronicznej

#drweb

Najpopularniejsze zagrożenia na podstawie danych z Bota Dr.Web dla aplikacji Telegram

#drweb

Ransomware szyfrujące pliki

#drweb

W lipcu do wsparcia technicznego Doctor Web najczęściej docierały zgłoszenia pochodzące od ofiar następujących modyfikacji ransomware szyfrującego pliki:

Niebezpieczne strony www

W lipcu 2017 do bazy Dr.Web dodano 327,295 adresów URL niezalecanych stron www.

czerwiec 2017lipiec 2017Dynamika
+ 229 381+ 327 295+ 42,6%

W połowie lipca specjaliści Doctor Web wykryli potencjalnie złośliwy kod wstrzyknięty w Portal Usługowy Rządu Federacji Rosyjskiej (gosuslugi.ru). Było w nim co najmniej 15 adresów domen zarejestrowanych przez nieznane osoby fizyczne, co najmniej 5 z nich należało do holenderskich firm. Złośliwy kod wymuszał na przeglądarce każdego odwiedzającego tą stronę www skryte podłączenie się do jednej z tych domen. Podczas dynamicznego generowania strony www żądanej przez użytkownika, do kodu tej strony dodawano kontener <iframe>. Pozwala on na pobranie lub zażądanie z przeglądarki użytkownika dowolnych zewnętrznych danych. Wszystkie podatności na stronie gosuslugi.ru zostały wyeliminowane przez jej administratorów kilka godzin po tym, jak opublikowaliśmy nasz artykuł dotyczący tej sprawy.

Inne informacje z zakresu bezpieczeństwa informacji

W 2011 roku Doctor Web raportował o wykryciu wirusa BackDoor.Dande, który szpiegował firmy farmaceutyczne i apteki. Analitycy bezpieczeństwa przebadali dysk twardy dostarczony przez jedną z zaatakowanych firm i określili, że komponent programu ePrica był odpowiedzialny za pobieranie i uruchamianie trojana w atakowanych systemach. Menedżerowie aptek używali tego komponentu oprogramowania do analizy cen leków i wybrania najlepszych dostawców. Ten moduł pobierał instalator trojana BackDoor.Dande z serwera należącego do firmy “Spargo Tekhnologii”, a następnie instalator uruchamiał na zaatakowanych komputerach samego backdoora. Dodatkowo warto zauważyć, że wskazany moduł posiadał podpis cyfrowy “Spargo”.

Analizy przeprowadzone przez Doctor Web pokazały, że komponenty BackDoor.Dande były wbudowane bezpośrednio w jedną ze wcześniejszych wersji instalatora programu ePrica. Pośród modułów trojana znalazł się instalator backdoora i moduły używane do zbierania informacji o zamówieniach medykamentów. Te moduły pozyskiwały wymagane dane z baz danych programów aptecznych. Jeden z tych modułów był używany do kopiowania zamówień produktów farmaceutycznych z baz danych 1C. Warto zauważyć, że nawet po usunięciu programu ePrica, backdoor pozostawał w systemie i kontynuował szpiegowanie użytkowników. Szczegóły badań przeprowadzonych przez Doctor Web na oprogramowaniu ePrica zostały opublikowane na naszej stronie www.

Złośliwe i niepożądane programy dla urządzeń mobilnych

Na początku miesiąca specjaliści Doctor Web wykryli wirusa Android.DownLoader.558.origin w popularnej grze o nazwie BlazBlue, dostępnej poprzez Google Play. Ten złośliwy program potrafił e skrycie pobierać i uruchamiać niesprawdzone komponenty aplikacji. Później analitycy bezpieczeństwa przebadali niebezpiecznego trojana nazwanego Android.BankBot.211.origin. Potrafił on kontrolować zainfekowane urządzenia mobilne, wykradać poufne informacje bankowe i inne tajne dane, włączając hasła. Pod koniec lipca analitycy bezpieczeństwa Doctor Web wykryli wirusa Android.Triada.231. Cyberprzestępcy wstrzyknęli go w bibliotekę systemu Android i osadzili ją w firmware kilku modeli urządzeń mobilnych. Ten złośliwy program infiltrował procesy wszystkich wykonywanych programów i w skrycie uruchamiał inne moduły trojana.

Pośród najbardziej godnych uwagi wydarzeń lipca powiązanych z malware dla urządzeń mobilnych możemy wymienić:

Dowiedz się więcej o złośliwych i niepożądanych programach dla urządzeń mobilnych z naszego specjalnego przeglądu.

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2017

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A