Защита ПК! Форум.

Защита компьютера от вирусов

Партнеры

Создать форум

Кто сейчас на форуме

Сейчас посетителей на форуме: 5, из них зарегистрированных: 0, скрытых: 0 и гостей: 5

Нет


[ Посмотреть весь список ]


Больше всего посетителей (217) здесь было Сб Окт 26, 2024 1:57 am

RSS-каналы


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 

    Около трех тысяч компьютеров фармацевтических компаний инфицированы трояном BackDoor.Dande

    Admin
    Admin
    Admin


    Сообщения : 656
    Дата регистрации : 2010-12-25
    Возраст : 56
    Откуда : Киев

    Около трех тысяч компьютеров фармацевтических компаний инфицированы трояном BackDoor.Dande Empty Около трех тысяч компьютеров фармацевтических компаний инфицированы трояном BackDoor.Dande

    Сообщение  Admin Чт Июл 05, 2012 11:23 am

    Компания «Доктор Веб» сообщила о распространении
    узкоспециализированной троянской программы BackDoor.Dande,
    предназначенной для кражи информации у представителей российских
    фармацевтических компаний.

    BackDoor.Dande — довольно сложный
    многокомпонентный троянец, шифрующий свои модули ключом, привязанным к
    конкретной инфицированной машине, и самостоятельно загружающий их в
    память. Благодаря этому детектировать данные вредоносные модули можно
    только в оперативной памяти зараженного компьютера, а расшифровать их
    отдельно от инфицированного ПК крайне сложно в силу уникальности ключа.
    Кроме того, загрузчик модулей встраивается в первую секцию одной из
    системных библиотек Windows, в результате чего ее становится невозможно
    отличить от незараженной библиотеки по формальным признакам, характерным
    для вирусных инфекторов.

    Для установки в систему BackDoor.Dande
    использует стандартную библиотеку \system32\msi.dll. Дроппер троянца
    встраивает вредоносный код в системную службу MSIServer, с помощью
    которой осуществляется дальнейшее заражение рабочей станции. Так,
    загружаясь в оперативную память, модуль инфектора проверяет версию
    операционной системы, в которой запущен троянец: если это Microsoft
    Windows XP, происходит заражение библиотеки advapi32.dll, в ОС более
    старших версий заражается библиотека kernelbase.dll — в эти библиотеки
    встраивается модуль бэкдора, выполняющего поступающие от удаленных
    серверов команды и осуществляющего загрузку дополнительных компонентов
    троянца.

    После успешной установки и запуска бэкдора он
    подключается к удаленным управляющим серверам и передает информацию об
    инфицированном компьютере, после чего по команде загружает и запускает
    программу-шпион Trojan.PWS.Dande. Основное предназначение этой программы
    — кража данных клиентских приложений семейства «Системы электронного
    заказа», позволяющих различным фармацевтическим предприятиям и аптекам
    заказывать у поставщиков медицинские препараты. К таким приложениям
    относятся специализированная конфигурация «Аналит: Фармация 7.7» для
    платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании
    «Аптека-Холдинг», программа формирования заявок компании «Российская
    Фармация», система электронного заказа фармацевтической группы «Роста»,
    программа «Катрен WinPrice» и некоторые другие. Среди собираемых данных —
    сведения об установленном на компьютере программном обеспечении, пароли
    учетных записей и т. д. Вся похищенная информация передается на сервер
    злоумышленников в зашифрованном виде. Если интересующей вирусописателей
    информации на зараженной машине не обнаруживается, троянец с помощью
    встроенных модулей аккуратно излечивает ранее зараженные им же системные
    библиотеки и самоудаляется.

    Исходя из того, что троянец
    продолжает работу только на компьютерах, где установлена одна из систем
    электронного заказа медикаментов, можно предположить, что в бот-сети
    BackDoor.Dande состоят преимущественно рабочие станции, принадлежащие
    аптекам и фармацевтическим компаниям. На начало июля 2012 года таковых
    насчитывается 2857, причем 2788 (98,5%) из них расположено на территории
    России, остальные располагаются в других государствах.

    В
    настоящее время рост ботнета продолжается, однако в силу специфики
    самого бэкдора число регистраций новых инфицированных компьютеров в сети
    сейчас не превышает 1–2 в сутки.
    Источник:


      Текущее время Чт Окт 31, 2024 3:13 pm

      Яндекс.Метрика