«Доктор Веб» предупреждает: троянец-майнер загружается вместо обновления программы
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
сентябрь    2019
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

показать все 

Новости партнеров

17.09.2019

Деловой сезон начинается: бесплатное обучение и сервисы от MBM.MOS.RU

Читать далее 

16.09.2019

Основа нашей работы – сотрудничество

Читать далее 

13.09.2019

Деловой завтрак «Цифровизация строительной отрасли»

Читать далее 

13.09.2019

На Oracle Systems Advantage Forum клиенты узнали, как получить выгоду из 2,5 квинтиллионов байт данных

Читать далее 

показать все 

Статьи

31.08.2019

Кадры для цифровой среды

Читать далее 

29.08.2019

Пора менять модель?

Читать далее 

28.08.2019

Тормозы для маркетинга

Читать далее 

27.08.2019

Может ли Россия стать центром высокотехнологичного экспорта?

Читать далее 

24.08.2019

Искусственный интеллект в России: перспективы и препятствия

Читать далее 

04.06.2019

Маркетолог: привлекать, продавать, продвигать?

Читать далее 

04.06.2019

Бонусы за лояльность

Читать далее 

04.06.2019

Прощайте, доктора?

Читать далее 

04.06.2019

Между В2В и В2С – сплошная двойная

Читать далее 

04.06.2019

Компьютеры + медицина = синергия

Читать далее 

показать все 

«Доктор Веб» предупреждает: троянец-майнер загружается вместо обновления программы

Главная / Новости партнеров / «Доктор Веб» предупреждает: троянец-майнер загружается вместо обновления программы


Вирусописатели применяют различные методики распространения вредоносных программ. Среди них особо следует отметить использование злоумышленниками стандартного механизма обновления приложений. Именно так распространялся нашумевший троянец-шифровальщик Trojan.Encoder.12544, известный под наименованиями Petya, Petya.A, ExPetya и WannaCry-2, а также бэкдор BackDoor.Dande. Сегодня мы расскажем еще об одном подобном случае, который был подробно исследован специалистами «Доктор Веб».

 

 

В нашу службу технической поддержки от одного из пользователей поступило сообщение о том, что Антивирус Dr.Web регулярно обнаруживает и удаляет на компьютере приложение для добычи криптовалют. Исследование журнала Антивируса показало, что майнер прятался во временной папке на зараженном ПК. В то же время журнал веб-антивируса SpIDer Gate сохранил информацию о том, что приложение пыталось соединиться с IP-адресом, который соответствует сайту компании Astrum Soft — производителя ПО «Компьютерный зал» для автоматизации компьютерных клубов и интернет-кафе.

В самом приложении официально присутствует функция майнинга (добычи) криптовалют, которую пользователь может включить, когда компьютеры простаивают.

Тем не менее, дальнейшее исследование показало, что программой, беспокоившей пользователя, было не само приложение «Компьютерный зал», а скрытый майнер, добавленный в вирусные базы Dr.Web под именем Trojan.BtcMine.2869. Этот троянец автоматически скачивался с серверов компании Astrum Soft механизмом обновления программы «Компьютерный зал» и устанавливался им в систему.

Приложение «Компьютерный зал» периодически отправляет запрос на сервер своего разработчика, в котором передает версию приложения и сведения о системе. В ответ может поступить команда на загрузку или скачивание и запуск исполняемого файла, в котором должно быть реализовано обновление программы. Однако в исследованном нами образце загружаемый на компьютер файл имеет вредоносный функционал. Это вредоносное ПО завершает работу процессов svchostm.exe и svcnost.exe, сохраняет на диск троянца-майнера и для обеспечения его автоматического запуска модифицирует системный реестр Windows. Данные о кошельке, на который перечисляется добытая криптовалюта, зашиты в теле троянца. При удалении вредоносной программы пользователем механизм обновления может скачать и запустить его заново.

На 9 июля вирусные аналитики насчитали более 2700 зараженных компьютеров, на которых действует Trojan.BtcMine.2869. В исследованном специалистами «Доктор Веб» образце троянца, загружавшегося с сервера Astrum Soft, имена инфицированных ПК (воркеров) начинаются с префикса "soyuz6_", который также записан в теле троянца. На сегодняшний день таких зараженных компьютеров насчитывается 613. Троянец распространялся в период с 24 мая по 4 июля 2018 года. Разработчик ПО Astrum Soft и правоохранительные органы были проинформированы об этом инциденте.

Подробнее о троянце

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №06 (89) 2019г.
Выпуск №06 (89) 2019г. Выпуск №05 (88) 2019г. Выпуск №04 (87) 2019г. Выпуск №03 (86) 2019г. Выпуск №02 (85) 2019г. Выпуск №01 (84) 2019г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика