Доктор Веб: Метод заражения Trojan.Encoder.12544 нам знаком


Hit WebВ Интернете широко обсуждают распространение нашумевшего червя-шифровальщика Trojan.Encoder.12544, также известного, как:

  • Petya;
  • Petya.A;
  • ExPetya;
  • WannaCry-2.

 


На большинстве интернет-ресурсах утверждают, что вредонос проникал в операционную систему с использованием программы обновления приложения MEDoc, предназначенного для ведения налогового учета. Как заявляют в Доктор Веб, они уже встречали подобную методику распространения вредоносных программ ранее и знают, как избежать подобных инцидентов в будущем.

 

Аналитики компании, исследовавшие шифровальщик Trojan.Encoder.12544, сообщают, что первоначальным источником распространения трояна была система обновления программы MEDoc. Данная программа помогает украинским пользователям в ведении налогового учета. Исследователи установили, что входящая в комплект поставки MEDoc утилита EzVit.exe, предназначенная для обновления основного приложения, в определенный момент выполняла cmd-команду, по которой в память компьютера и загружалась вредоносная библиотека. В этой библиотеке реализован основной функционал Trojan.Encoder.12544. А поскольку этот шифровальщик способен самостоятельно распространяться по сети с использованием уязвимости в протоколе SMB, а также красть учетные данные пользователей Windows, то для дальнейшего распространения инфекции достаточно лишь одной зараженной машины.

Напомним, еще в 2012 году вирусными аналитиками компании Доктор Веб была выявлена целенаправленная атака на сеть российских аптек и фармацевтических компаний с использованием вредоносной программы BackDoor.Dande. Этот троян-шпион похищал информацию о закупках медикаментов из специализированных программ, которые используются в фармацевтической индустрии. В момент своего запуска бэкдор проверял, установлены ли в системе соответствующие приложения для заказа и учета закупок лекарств. В случае если они отсутствовали, прекращал свою работу. Тогда заражению подверглись более 2800 аптек и российских фармацевтических компаний. Таким образом, можно с определенной уверенностью утверждать, что BackDoor.Dande использовался в целях промышленного шпионажа.

Специалисты провели расследование, длившееся целых 4 года. Проанализировав жесткие диски, предоставленные одной из пострадавших от BackDoor.Dande фирм, вирусные аналитики установили дату создания драйвера, который запускает все остальные компоненты бэкдора. Упоминания об этом драйвере обнаружились в файле подкачки Windows и журнале антивируса Avast, который был установлен на зараженной машине. Именно анализ этих файлов и показал, что вредоносный драйвер был создан сразу же после запуска приложения ePrica (D:\ePrica\App\PriceCompareLoader.dll). Это приложение позволяет руководителям аптек проанализировать расценки на медикаменты и выбрать оптимального поставщика. Изучение программы ePrica позволило установить, что она загружает в память библиотеку, которая скрытно скачивает, расшифровывает и запускает в памяти BackDoor.Dande. Троян загружался с сайта http://ws.eprica.ru, принадлежащего компании "Спарго Технологии" и предназначенного для обновления программы ePrica. При этом модуль, скрытно загружавший вредоносную программу, имел действительную цифровую подпись "Спарго". Похищенные данные троян передавал на серверы, расположенные за пределами России. Иными словами, как и в ситуации с Trojan.Encoder.12544, бэкдор "прятался" в модуле обновления этой программы.

BackDoor.Dande v module obnovleniya programmi

Утилиты обновления различных программ, обладающие в операционной системе правами на установку и запуск исполняемых файлов, могут неожиданно стать источником заражения. В случае с MEDoc к этому привел взлом злоумышленниками и компрометация сервера, с которого загружались обновления, а в ситуации с BackDoor.Dande, как полагают специалисты, к распространению инфекции привели сознательные действия инсайдеров. Посредством такой методики злоумышленники могут провести эффективную целевую атаку против пользователей практически любого программного обеспечения.


Обновлено (30.06.2017 23:26)