Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > Троян BackDoor.Dande инфицировал свыше 2,8 тыс. компьютеров фармацевтических компаний

Троян BackDoor.Dande инфицировал свыше 2,8 тыс. компьютеров фармацевтических компаний

Пятница, 6 июля 2012 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — представила результаты своих наблюдений за узкоспециализированной троянской программой BackDoor.Dande, предназначенной для кражи информации у представителей российских фармацевтических компаний, о которой уже сообщала в ноябре 2011 г. С использованием технологии sinkhole специалистам «Доктор Веб» удалось установить полный контроль над ботнетом Dande, благодаря чему в течение полугода аналитики имели возможность наблюдать за поведением этой бот-сети.

Согласно данным «Доктор Веб», на начало июля бот-сеть BackDoor.Dande включает в себя 2857 рабочих станций, причем 2788 (98,5%) из них расположено на территории России, остальные располагаются в других государствах. В настоящее время рост ботнета продолжается, однако в силу специфики самого бэкдора число регистраций новых инфицированных компьютеров в сети сейчас не превышает 1–2 в сутки. По мнению специалистов «Доктор Веб», эти цифры могут в целом свидетельствовать о том, что представители фармацевтической индустрии недостаточно серьезно относятся к вопросам информационной безопасности и пренебрегают использованием современных средств антивирусной защиты.

Как удалось выяснить специалистам «Доктор Веб», BackDoor.Dande представляет собой довольно сложный многокомпонентный троян, шифрующий свои модули ключом, привязанным к конкретной инфицированной машине, и самостоятельно загружающий их в память. Благодаря этому детектировать данные вредоносные модули можно только в оперативной памяти зараженного компьютера, а расшифровать их отдельно от инфицированного ПК крайне сложно в силу уникальности ключа. Кроме того, загрузчик модулей встраивается в первую секцию одной из системных библиотек Windows, в результате чего ее становится невозможно отличить от незараженной библиотеки по формальным признакам, характерным для вирусных инфекторов, подчеркнули в компании.


Динамика роста бот-сети за первое полугодие 2012 г.

Для установки в систему BackDoor.Dande использует стандартную библиотеку system32msi.dll. Дроппер трояна встраивает вредоносный код в системную службу MSIServer, с помощью которой осуществляется дальнейшее заражение рабочей станции. Так, загружаясь в оперативную память, модуль инфектора проверяет версию операционной системы, в которой запущен троян: если это Microsoft Windows XP, происходит заражение библиотеки advapi32.dll, в ОС более старших версий заражается библиотека kernelbase.dll — в эти библиотеки встраивается модуль бэкдора, выполняющего поступающие от удаленных серверов команды и осуществляющего загрузку дополнительных компонентов трояна.

После успешной установки и запуска бэкдора он подключается к удаленным управляющим серверам и передает информацию об инфицированном компьютере, после чего по команде загружает и запускает программу-шпион Trojan.PWS.Dande. Основное предназначение этой программы — кража данных клиентских приложений семейства «Системы электронного заказа», позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты. К таким приложениям относятся специализированная конфигурация «Аналит: Фармация 7.7» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие.

Среди собираемых данных — сведения об установленном на компьютере программном обеспечении, пароли учетных записей и т.д. Вся похищенная информация передается на сервер злоумышленников в зашифрованном виде. Если интересующей вирусописателей информации на зараженной машине не обнаруживается, троян с помощью встроенных модулей аккуратно излечивает ранее зараженные им же системные библиотеки и самоудаляется.

Исходя из того, что троян продолжает работу только на компьютерах, где установлена одна из систем электронного заказа медикаментов, в «Доктор Веб» предположили, что в бот-сети BackDoor.Dande состоят преимущественно рабочие станции, принадлежащие аптекам и фармацевтическим компаниям.

Антивирусные программы Dr.Web успешно детектируют и удаляют это вредоносное приложение, излечивая зараженные файловые объекты и компоненты операционной системы.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 346
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

16: 01
По прогнозу Technavio, рынок аккумуляторов для носимой электроники в ближайшие годы ждет стремительный рост |
16: 01
ASUS Tinker Board оказался "прокаченным" конкурентом Raspberry Pi |
15: 41
Samsung объяснила, почему взрывались Galaxy Note 7 |
15: 41
Аудиостатья: ситуативная готовность, или как всегда быть начеку? |
15: 21
Samsung включает зарядку-разрядку в перечень тестов для аккумуляторов мобильных устройств |
15: 21
У Xiaomi появился первый официальный представитель в России |
15: 01
Пентагону нужны электромагнитные снаряды |
14: 41
Специалисты Technavio навали движущую силу роста рынка суперкомпьютеров на ближайшие годы |
14: 41
Электромобили Tesla на базе аппаратной платформы второго поколения получили обновленный автопилот |
14: 21
На выпуск миниатюрной камеры для машинного зрения JeVois собрано более $100 000 |
14: 01
Олег Тиньков вернулся в список миллиардеров по версии Forbes после роста акций «Тинькофф банка» |
13: 41
Если надоел треш в App Store, иди и исправь все сам |
13: 21
Incharp — беспроводные зарядные устройства для установки в общественных заведениях |
13: 21
В России подешевели AirPods. И заказавших это коснётся |
13: 01
Новая линейка драйверов и эталонная реализация EGL/Wayland от Nvidia |
12: 41
Акции Apple выросли до максимального значения с 2015 года |
12: 41
Как поменять аккумулятор в автомобиле своими руками? |
12: 41
Патент недели: платформа-ледокол |
12: 41
Контрольная «Выходи решать!»: участники могут пройти пробный тест |
12: 21
«Коммерсантъ»: Банки попросят ЦБ не вводить обязательство по переводу средств бюджетников на карты «Мир» |
12: 21
Twitter продаёт платформу Fabric компании Google |
12: 01
Питч-презентация Theranos для инвесторов в 2006 году: целевой рынок и преимущества перед конкурентами |
12: 01
Экс-представитель Twitter в России Алексей Шелестенко объявил о переходе на пост главы российского Tinder |
11: 41
Nokia 6 раскупили буквально за минуту в первый день продаж |
11: 41
Вице-президента Samsung не стали арестовывать |
11: 41
Что происходит на краю Вселенной? |
11: 21
Анонс смартфона LG G6 назначен на 26 февраля 2017 |
11: 21
Компания Oracle опубликовала план разработки Solaris и SPARC |
11: 21
Несколько сотрудников Huawei обвиняются в передаче данных компании LeEco |
10: 41
Гоночная версия Tesla Model S стала быстрее |
10: 21
Что такое Bootloader и для чего он служит |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003