(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

"Доктор Веб": BackDoor.Dande инфицировал 2857 компьютеров фармацевтических компаний

Источник: DrWeb

В ноябре 2011 года компания "Доктор Веб" - российский разработчик средств информационной безопасности - уже сообщала о распространении узкоспециализированной троянской программы BackDoor.Dande, предназначенной для кражи информации у представителей российских фармацевтических компаний. С использованием технологии sinkhole специалистам компании "Доктор Веб" удалось установить полный контроль над ботнетом Dande, благодаря чему в течение полугода аналитики имели возможность наблюдать за поведением этой бот-сети. Можно смело сказать, что на протяжении этого периода троянцы семейства BackDoor.Dande ничуть не утратили своей активности.

BackDoor.Dande - довольно сложный многокомпонентный троянец, шифрующий свои модули ключом, привязанным к конкретной инфицированной машине, и самостоятельно загружающий их в память. Благодаря этому детектировать данные вредоносные модули можно только в оперативной памяти зараженного компьютера, а расшифровать их отдельно от инфицированного ПК крайне сложно в силу уникальности ключа. Кроме того, загрузчик модулей встраивается в первую секцию одной из системных библиотек Windows, в результате чего ее становится невозможно отличить от незараженной библиотеки по формальным признакам, характерным для вирусных инфекторов.

Для установки в систему BackDoor.Dande использует стандартную библиотеку \system32\msi.dll. Дроппер троянца встраивает вредоносный код в системную службу MSIServer, с помощью которой осуществляется дальнейшее заражение рабочей станции. Так, загружаясь в оперативную память, модуль инфектора проверяет версию операционной системы, в которой запущен троянец: если это Microsoft Windows XP, происходит заражение библиотеки advapi32.dll, в ОС более старших версий заражается библиотека kernelbase.dll - в эти библиотеки встраивается модуль бэкдора, выполняющего поступающие от удаленных серверов команды и осуществляющего загрузку дополнительных компонентов троянца.

screen

После успешной установки и запуска бэкдора он подключается к удаленным управляющим серверам и передает информацию об инфицированном компьютере, после чего по команде загружает и запускает программу-шпион Trojan.PWS.Dande. Основное предназначение этой программы - кража данных клиентских приложений семейства "Системы электронного заказа", позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты. К таким приложениям относятся специализированная конфигурация "Аналит: Фармация 7.7" для платформы 1С, "Система электронного заказа" СЭЗ-2 производства компании "Аптека-Холдинг", программа формирования заявок компании "Российская Фармация", система электронного заказа фармацевтической группы "Роста", программа "Катрен WinPrice" и некоторые другие. Среди собираемых данных - сведения об установленном на компьютере программном обеспечении, пароли учетных записей и т. д. Вся похищенная информация передается на сервер злоумышленников в зашифрованном виде. Если интересующей вирусописателей информации на зараженной машине не обнаруживается, троянец с помощью встроенных модулей аккуратно излечивает ранее зараженные им же системные библиотеки и самоудаляется.

Исходя из того, что троянец продолжает работу только на компьютерах, где установлена одна из систем электронного заказа медикаментов, можно предположить, что в бот-сети BackDoor.Dande состоят преимущественно рабочие станции, принадлежащие аптекам и фармацевтическим компаниям. На начало июля 2012 года таковых насчитывается 2857, причем 2788 (98,5%) из них расположено на территории России, остальные располагаются в других государствах. Распределение ботнета по городам РФ показано на предложенной ниже иллюстрации:

screen

На представленном ниже графике демонстрируется динамика роста бот-сети за первое полугодие 2012 года:

screen

В настоящее время рост ботнета продолжается, однако в силу специфики самого бэкдора число регистраций новых инфицированных компьютеров в сети сейчас не превышает 1-2 в сутки. Эти цифры могут в целом свидетельствовать о том, что представители фармацевтической индустрии недостаточно серьезно относятся к вопросам информационной безопасности и пренебрегают использованием современных средств антивирусной защиты. В частности, антивирусные программы Dr.Web успешно детектируют и удаляют это вредоносное приложение, излечивая зараженные файловые объекты и компоненты операционной системы. Поэтому для пользователей продукции компании "Доктор Веб" троянец BackDoor.Dande не представляет серьезной опасности.



 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 05.07.2012 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Комплект Dr.Web «Универсальный», 1 год, 5 ПК
Dr.Web Security Space, продление лицензии на 1 год, 1 ПК
Купить, скачать Dr.Web Security Space, 1 год, 1 ПК
Купить Антивирус Dr.Web Server Security Suite для сервера
ESET NOD32 Антивирус - продление лицензии на 1 год на 3ПК
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Новости ITShop.ru - ПО, книги, документация, курсы обучения
CASE-технологии
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
Программирование в AutoCAD
Один день системного администратора
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
Беговая дорожка (3)
Купила беговую дорожку вот здесь https://4gym.com.ua/product/technogym-artis-run Очень классная,...
 
Аналоги виагры (3)
Если мужчине, по каким либо причинам, не подходит виагра, существуют качественные аналоги...
 
работа на дому! (8)
Доброго времени суток дорогие друзья. Многоуровневый маркетинг окончательно признан...
 
Отличается ли ДрифтКазино от беттинга? (16)
Друзья, давно заметил, что на Дрифте уже несколько месяцев во всю рекламируется и предлагается...
 
Актуальное зеркало БК Лигаставок (2)
Актуальное зеркало букмекерской конторы Лигаставок https://superbet.guru/bk-ligastavok-mirror/...
 
 
 



    
rambler's top100 Rambler's Top100