Перейти к содержимому


Dmitry Shutov

Дата рег: 14 Сен 2009
Онлайн Был(а) онлайн: 3 минут назад
*****

Темы пользователя

Долгая нейтрализация угрозы

16 Июль 2018 - 19:05

Стояла бета, установил релиз, вчера добавили семплы из темы https://forum.drweb.com/index.php?showtopic=330022  ,сейчас запустил сканер и после детекта нажал нейтрализовать....очень долго ((
 
Норма?
 
 
Start curing
-----------------------------------------------------------------------------
 
E:\!\!\2017\!!!!NOW\22\EMB000015d43f34.ps.640092873_HWP.Exploit.DROPPED - quarantined - 561597 ms (9,36 minute)  - infected with Exploit.Siggen.6597
E:\!\!\2017\!!!!NOW\22\3cde54dce88a4544bf5ffa36066a184958d4ff74c2e0ce32fdbf91729c0f574e_HWP.Exploit.bin - quarantined - 512171 ms (8,54 minute)  - infected with Exploit.HWP.13

Cryptocurrency Miner in the Mac App Store

12 Март 2018 - 21:46

Бесплатное приложение  Calendar 2 от некой компании Qbix в официальном Mac App Store майнит денежку для дяди ((

 

https://objective-see.com/blog/blog_0x2B.html

 

drweb.com #8100011 - https://www.virustotal.com/#/file/351944d10c828fc863a555ba48c5ca5946b5d978d7839e8d0701ba0317454030/detection(0/60)


Microsoft - стремительное распространение трояна Dofoil

09 Март 2018 - 10:35

 

На днях Microsoft заметила стремительное распространения варианта трояна Dofoil, который сопровождался кодом для удаленного майнинга криптовалют на компьютере жертвы. Софтверный гигант утверждает, что 73% обнаруженных троянов приходились на Россию, 18% на Турцию и 4% на Украину. 6 марта Microsoft заблокировала 80 000 попыток внедрения, а на протяжении следующих 12 часов обнаружили еще 400 000 попыток.

В современных реалиях вирус Dofoil особенно неприятный из-за всеобщего помешательства на добычи криптовалюты. Кампания по распространению этого ПО, обнаруженного Защитником Windows, использовала схему внедрения вредоносного кода в стандартный системный процесс explorer.exe. Зараженный процесс запускает другой, который в свою очередь исполняет код для запуска процесса майнинга криптовалюты Electroneum. В обычных условиях пользователю весьма непросто обнаружить подделку, поскольку вирус работает внутри подлинного процесса, который исполняется с другого места. Это позволяет злоумышленникам эксплуатировать железо жертвы максимально долгое время.

 

Чтобы оставаться незамеченным, Dofoil изменяет реестр системы. Зараженный процесс explorer.exe создает копию оригинального вредоносного ПО в папке Roaming AppData и затем переименовывает ее в ditereah.exe. Затем создается ключ в реестре или модифицируется существующий для направления созданной копии вируса. В примере, который мы проанализировали, вирус модифицировал ключ OneDrive Run.

Зараженный explorer.exe создает и запускает файл D1C6.tmp.exe (SHA256: 5f3efdc65551edb0122ab2c40738c48b677b1058f7dfcdb86b05af42a2d8299c) в папке Temp. D1C6.tmp.exe в свою очередь создает и запускает копию самого себя под названием lyk.exe. После запуска lyk.exe подключается к IP-адресам, которые работают как DNS прокси-сервера для сети Namecoin. Он затем пытается подключиться к C&C серверу vinik.bit внутри инфраструктуры NameCoin. Сервер C&C указывает вирусу подключиться или отключиться к IP-адресу, скачать, исполнить или удалить определенный файл или же оставаться пассивным на протяжении определенного периода времени.

 

https://cloudblogs.microsoft.com/microsoftsecure/2018/03/07/behavior-monitoring-combined-with-machine-learning-spoils-a-massive-dofoil-coin-mining-campaign/

 

Пользователи продуктов DrWeb могу быть спокойны, и Loader и Miner ловим.

 

https://www.virustotal.com/#/file/d191ee5b20ec95fe65d6708cbb01a6ce72374b309c9bfb7462206a0c7e039f4d/detection

https://www.virustotal.com/#/file/2b83c69cf32c5f8f43ec2895ec9ac730bf73e1b2f37e44a3cf8ce814fb51f120/detection

 

Интересный момент Loader подгружает Miner так скажем не первой "свежести"  - (Майнер мной был отправлен в вирлаб 25.10.2018 и добавлен 26.10.2017 - drweb.com #7900182). 


Форма для отправки сэмплов работает некорректно

18 Ноябрь 2017 - 12:55

Файлы свыше 1 Мб...не отправляются  :huh:  

 

 

413 Request Entity Too Large

 

 


Новый вирус шифровальщик #BadRabbit

24 Октябрь 2017 - 18:46

drweb.com #7898696  (#badrabbit)

drweb.com #7898702 (dropper)

 

 

https://www.virustotal.com/en/file/8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93/analysis/

 

 

 

https://www.vedomosti.ru/technology/articles/2017/10/24/739208-virus-shifrovalschik

http://www.bbc.com/russian/news-41739756