Вольногорск

информационный


icon user Виталий 05 июль 2017

icon comment 0 Комментариев

«Доктор Веб»: M.E.Doc містить бекдор, що дає зловмисникам доступ до комп'ютера

Аналітики компанії «Доктор Веб» досліджували модуль поновлення M.E.Doc і виявили його причетність до поширення як мінімум ще однієї шкідливої ??програми.

Нагадуємо, що, за повідомленнями незалежних дослідників, джерелом недавньої епідемії хробака-шифрувальника Trojan.Encoder.12544, також відомого під іменами NePetya, Petya.A, ExPetya і WannaCry-2, став саме модуль поновлення популярної на території України програми для ведення податкової звітності MEDoc.

У повідомленнях стверджується, що початкове поширення хробака Trojan.Encoder.12544 здійснювалося за допомогою популярного додатка M.E.Doc, розробленого українською компанією Intellect Service. В одному з модулів системи поновлення M.E.Doc з ім'ям ZvitPublishedObjects.Server.MeCom вірусні аналітики «Доктор Веб» виявили запис, що відповідає характерному ключу системного реєстру Windows: HKCU \ SOFTWARE \ WC.

Фахівці «Доктор Веб» звернули увагу на цей ключ реєстру в зв'язку з тим, що цей же шлях використовує в своїй роботі троянець-шифрувальник Trojan.Encoder.12703. Аналіз журналу антивіруса Dr.Web, отриманого з комп'ютера одного з наших клієнтів, показав, що енкодер Trojan.Encoder.12703 був запущений на інфікованої машині додатком ProgramData \ Medoc \ Medoc \ ezvit.exe, яке є компонентом програми M.E.Doc:

id: 425036, timestamp: 15: 41: 42.606, type: PsCreate (16), flags: 1 (wait: 1), cid: 1184/5796: \ Device \ HarddiskVolume3 \ ProgramData \ Medoc \ Medoc \ ezvit.exe

source context: start addr: 0x7fef06cbeb4, image: 0x7fef05e0000: \ Device \ HarddiskVolume3 \ Windows \ Microsoft.NET \ Framework64 \ v2.0.50727 \ mscorwks.dll

created process: \ Device \ HarddiskVolume3 \ ProgramData \ Medoc \ Medoc \ ezvit.exe: 1 184 -> \ Device \ HarddiskVolume3 \ Windows \ System32 \ cmd.exe: 6328

bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0
curdir: C: \ Users \ user \ Desktop \, cmd: «cmd.exe» / c% temp% \ wc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr + LiQCtQgJttD2PcKVqWiavOlEAwD / cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18o EJeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6 UGTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o + Tfg / 3Y2IICNYDnJl7U4IdVwTMpDFVE + q1l + Ad9 2ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA / gVJVktXvD X0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra

 

Джерело http://expert.com.ua/

Просмотров: 9


Комментарии

Имя:

code Код:

rss vk twitter google facebook





| Важно!!! |  Городские новости |  Транспорт города |  Фотогалерея |  Справочная |  Афиша |  Интересное в мире |  Разное | Сайт місцевих садоводів |


Администрация сайта не всегда разделяет мнение авторов статей
и не несет ответственности за содержание информации, которая размещается посетителями ресурса.

Copyright © 2009-2017 https://vln.dp.ua/