«Доктор Веб» сообщает о первом троянце для 1С

Тема в разделе "Новости информационной безопасности", создана пользователем Phoenix, 23 июн 2016.

  1. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.853
    Симпатии:
    1.837
    «Доктор Веб» сообщает о первом троянце для 1С, запускающем шифровальщика-вымогателя
    22 июня 2016 года

    Троянец 1C.Drop.1, исследованный специалистами компании «Доктор Веб», самостоятельно распространяется по электронной почте среди зарегистрированных в базе контрагентов, заражает компьютеры с установленными бухгалтерскими приложениями 1С и запускает на них опасного троянца-шифровальщика. Вредоносные программы, при создании которых вирусописатели использовали какую-либо новую технологию или редкий язык программирования, появляются нечасто, и это – тот самый случай.

    Можно смело сказать, что 1C.Drop.1 — это первый попавший в вирусную лабораторию компании «Доктор Веб» троянец, фактически написанный на русском языке, вернее, на встроенном языке программирования 1С, который использует для записи команд кириллицу. При этом вредоносные файлы для 1С, которые могли модифицировать или заражать другие файлы внешней обработки, известны вирусным аналитикам «Доктор Веб» еще с 2005 года, однако полноценный троянец-дроппер, скрывающий в себе опасного шифровальщика, встретился им впервые.

    [​IMG]

    Троянец распространяется в виде вложения в сообщения электронной почты с темой «У нас сменился БИК банка» и следующим текстом:

    Здравствуйте!
    У нас сменился БИК банка.
    Просим обновить свой классификатор банков.
    Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
    Файл - Открыть обработку обновления классификаторов из вложения.
    Нажать ДА. Классификатор обновится в автоматическом режиме.
    При включенном интернете за 1-2 минуты.

    К письму прикреплен файл внешней обработки для программы «1С:Предприятие» с именемПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С:Предприятие», на экране отобразится диалоговое окно:

    [​IMG]

    Какую бы кнопку ни нажал пользователь, 1C.Drop.1 будет запущен на выполнение, и в окне программы «1С:Предприятие» появится форма с изображением забавных котиков:

    [​IMG]

    В это же самое время троянец начинает свою вредоносную деятельность на компьютере. В первую очередь он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Текст сообщения идентичен приведенному выше. Вместо адреса отправителя троянец использует e-mail, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения троянец прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия 1C.Drop.1разошлет по адресам контрагентов поврежденный EPF-файл, который программа «1С:Предприятие» уже не сможет открыть. 1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:

    • "Управление торговлей, редакция 11.1"
    • "Управление торговлей (базовая), редакция 11.1"
    • "Управление торговлей, редакция 11.2"
    • "Управление торговлей (базовая), редакция 11.2"
    • "Бухгалтерия предприятия, редакция 3.0"
    • "Бухгалтерия предприятия (базовая), редакция 3.0"
    • "1С:Комплексная автоматизация 2.0"
    После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567. Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку. К сожалению, в настоящее время специалисты компании «Доктор Веб» не располагают инструментарием для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, поэтому пользователям следует проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении «1С:Предприятие», даже если в качестве адреса отправителя значится адрес одного из известных получателю контрагентов.

    Подробнее о троянце
     
    sanada, shestale, Kиpилл и 3 другим нравится это.
  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Phoenix, можешь по своим каналам узнать, на какую почту просят обратиться после шифрования 567-м?

    Update: Мартьянов не в курсе "Не могу, не смотрел трояна."
     
    Последнее редактирование: 23 июн 2016
  3. Охотник
    Оффлайн

    Охотник Активный пользователь

    Сообщения:
    282
    Симпатии:
    345
    А какие у этого вредоноса и шифровальщика алиясы у других антивирусов?
     
    Последнее редактирование: 24 июн 2016
  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    По касперскому детект Trojan-Ransom.Win32.Cryakl
     
  5. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.853
    Симпатии:
    1.837
    Если он не в курсе, то кто ?
     
  6. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Ну мало ли знакомые есть у Вас среди тамошнего вирлаба. Или кто-то из тамошних модераторов сможет раздобыть информацию.
     
    Последнее редактирование: 24 июн 2016
  7. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.470
    Симпатии:
    865
    Обещали позже более подробную информацию выложить в описании, включая хэши вредоносных файлов.
     
  8. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Уточню с вашего позволения...:Smile:
    Охотник, только это алиас самого шифровальщика, который по вэбу Trojan.Encoder.567, а не дроппера 1C.Drop.1 из которого он извлекается и запускается.
     
    SNS-amigo нравится это.
  9. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    Предупредил народ.
    Ответ поразителен: Хорошо,что у нас семерка!
    :Dash1::Dash1::Dash1::Dash1::Dash1::Dash1:
    Типа вирус не подходит...не страшно...
     
    SNS-amigo нравится это.
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.901
    Нигде сноски на версию ОС нет. Заразит и семерку, и восьмерку, и 10-ку.
    А если ты про типа версию 11, указанную в отчете, так это версия редакции. Сама 1С все равно 7,7 и 8. Больше сделать им не дано. Будут заражены и те и другие.
     
    Последнее редактирование: 25 июн 2016
    Охотник и Kиpилл нравится это.
  11. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.470
    Симпатии:
    865
    Дроппер уже давно в базах Касперского.

    https://www.virustotal.com/ru/file/...3474821a8abda908a4c8c4a8c917c23cb02/analysis/
     
    SNS-amigo нравится это.
  12. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Давно то давно, только Trojan-Dropper и Trojan-Ransom все-же это не одно и тоже...косяк в классификации.
     
    SNS-amigo и thyrex нравится это.
  13. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    shestale, при разнообразии функционала приоритет отдается тому, что наносит более существенный урон
     
    shestale, SNS-amigo и mike 1 нравится это.
  14. sanada
    Оффлайн

    sanada Активный пользователь

    Сообщения:
    194
    Симпатии:
    115
    Phoenix, спасибо за статью. Не знал, что уже и до 1С добрались. Надо будет предупредить народ. А в некоторых местах и жесткий инструктаж провести
     
  15. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Вопрос снимается. После шифрования просят обратиться на почту joker_fesch@aol.com
     
    Последнее редактирование модератором: 27 июн 2016
  16. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.853
    Симпатии:
    1.837
    Исследованный «Доктор Веб» троянец-шпион нацелился на бухгалтеров
    27 июня 2016 года

    Некоторые современные троянцы представляют собой довольно сложные многокомпонентные вредоносные программы, обладающие широким спектром функциональных возможностей. К этой категории можно отнести и исследованного специалистами компании «Доктор Веб» троянца-дроппера Trojan.MulDrop6.44482, образец которого был предоставлен для изучения компанией «Яндекс». Эта вредоносная программа предназначена для распространения других троянцев, в том числе – опасного шпиона, угрожающего бухгалтериям отечественных компаний.

    Trojan.MulDrop6.44482 распространяется в виде приложения-установщика, которое при запуске проверяет наличие на инфицируемом компьютере антивирусов Dr.Web, Avast, ESET или Kaspersky: если таковые обнаруживаются, троянец завершает свою работу. Также он прекращает работу, если локализация Windows отличается от русской. В остальных случаях эта вредоносная программа сохраняет на диск архиватор 7z и защищенный паролем архив, из которого затем извлекает файлы по одному. В этом архиве содержится несколько программ и динамических библиотек, имеющих разное назначение. Одно из приложений, которое распаковывает и запускает Trojan.MulDrop6.44482, детектируется антивирусом Dr.Web под именем Trojan.Inject2.24412. Этот троянец предназначен для встраивания в запускаемые на зараженном компьютере процессы вредоносных библиотек. Другая вредоносная программа из комплектаTrojan.MulDrop6.44482 получила наименование Trojan.PWS.Spy.19338 — это троянец-шпион, способный передавать киберпреступникам набираемый пользователем текст в окнах различных приложений, в том числе бухгалтерских.

    Trojan.PWS.Spy.19338 запускается непосредственно в памяти атакуемого компьютера без сохранения на диск в расшифрованном виде, при этом на диске хранится его зашифрованная копия. Основное предназначение этого троянца — логирование нажатий клавиш в окнах ряда приложений и сбор информации об инфицированной системе. Кроме того, фиксирующий нажатия клавиш модуль-кейлоггер может передавать злоумышленникам данные из буфера обмена инфицированного компьютера. Также Trojan.PWS.Spy.19338 может запускать на зараженном ПК получаемые с управляющего сервера программы как с промежуточным сохранением их на диск, так и без него. Троянец состоит из нескольких модулей, каждый из которых выполняет собственный набор функций.

    Вся информация, которой Trojan.PWS.Spy.19338 обменивается с управляющим сервером, шифруется в два этапа, сначала с использованием алгоритма RC4, затем — XOR. Записи о нажатиях клавиш троянец сохраняет на диске в специальном файле и с интервалом в минуту передает его содержимое на управляющий сервер. Вместе с кодами самих нажатых клавиш Trojan.PWS.Spy.19338 отсылает злоумышленникам и название окна, в котором произошло нажатие. Троянец отслеживает активность пользователя в следующих приложениях:
    • 1С версии 8;
    • 1С версии 7 и 7.7;
    • СБиС++;
    • Skype;
    • Microsoft Word;
    • Microsoft Excel;
    • Microsoft Outlook;
    • Microsoft Outlook Express и Windows Mail;
    • Mozilla Thunderbird.
    Помимо этого троянец собирает информацию о подключенных к компьютеру устройствах для работы с картами Smart Card. Отдельные модули Trojan.PWS.Spy.19338 позволяют передавать злоумышленникам данные об операционной системе инфицированного компьютера.

    Все упомянутые вредоносные программы детектируются и удаляются антивирусом Dr.Web. Компания «Доктор Веб» благодарит специалистов «Яндекс» за предоставленный для исследования образец троянца.

    Подробнее о Trojan.MulDrop6.44482
    Подробнее о Trojan.PWS.Spy.19338
     
    orderman, SNS-amigo и Kиpилл нравится это.

Поделиться этой страницей