Вы используете устаревший браузер!

Страница может отображаться некорректно.

Бесплатно демо
Dr.Web для Android
Скачать

Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Профиль

Назад к списку новостей

BackDoor.Dande инфицировал 2857 компьютеров фармацевтических компаний

5 июля 2012 года

В ноябре 2011 года компания «Доктор Веб» — российский разработчик средств информационной безопасности — уже сообщала о распространении узкоспециализированной троянской программы BackDoor.Dande, предназначенной для кражи информации у представителей российских фармацевтических компаний. С использованием технологии sinkhole специалистам компании «Доктор Веб» удалось установить полный контроль над ботнетом Dande, благодаря чему в течение полугода аналитики имели возможность наблюдать за поведением этой бот-сети. Можно смело сказать, что на протяжении этого периода троянцы семейства BackDoor.Dande ничуть не утратили своей активности.

BackDoor.Dande — довольно сложный многокомпонентный троянец, шифрующий свои модули ключом, привязанным к конкретной инфицированной машине, и самостоятельно загружающий их в память. Благодаря этому детектировать данные вредоносные модули можно только в оперативной памяти зараженного компьютера, а расшифровать их отдельно от инфицированного ПК крайне сложно в силу уникальности ключа. Кроме того, загрузчик модулей встраивается в первую секцию одной из системных библиотек Windows, в результате чего ее становится невозможно отличить от незараженной библиотеки по формальным признакам, характерным для вирусных инфекторов.

Для установки в систему BackDoor.Dande использует стандартную библиотеку \system32\msi.dll. Дроппер троянца встраивает вредоносный код в системную службу MSIServer, с помощью которой осуществляется дальнейшее заражение рабочей станции. Так, загружаясь в оперативную память, модуль инфектора проверяет версию операционной системы, в которой запущен троянец: если это Microsoft Windows XP, происходит заражение библиотеки advapi32.dll, в ОС более старших версий заражается библиотека kernelbase.dll — в эти библиотеки встраивается модуль бэкдора, выполняющего поступающие от удаленных серверов команды и осуществляющего загрузку дополнительных компонентов троянца.

screen

После успешной установки и запуска бэкдора он подключается к удаленным управляющим серверам и передает информацию об инфицированном компьютере, после чего по команде загружает и запускает программу-шпион Trojan.PWS.Dande. Основное предназначение этой программы — кража данных клиентских приложений семейства «Системы электронного заказа», позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты. К таким приложениям относятся специализированная конфигурация «Аналит: Фармация 7.7» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие. Среди собираемых данных — сведения об установленном на компьютере программном обеспечении, пароли учетных записей и т. д. Вся похищенная информация передается на сервер злоумышленников в зашифрованном виде. Если интересующей вирусописателей информации на зараженной машине не обнаруживается, троянец с помощью встроенных модулей аккуратно излечивает ранее зараженные им же системные библиотеки и самоудаляется.

Исходя из того, что троянец продолжает работу только на компьютерах, где установлена одна из систем электронного заказа медикаментов, можно предположить, что в бот-сети BackDoor.Dande состоят преимущественно рабочие станции, принадлежащие аптекам и фармацевтическим компаниям. На начало июля 2012 года таковых насчитывается 2857, причем 2788 (98,5%) из них расположено на территории России, остальные располагаются в других государствах. Распределение ботнета по городам РФ показано на предложенной ниже иллюстрации:

screen

На представленном ниже графике демонстрируется динамика роста бот-сети за первое полугодие 2012 года:

screen

В настоящее время рост ботнета продолжается, однако в силу специфики самого бэкдора число регистраций новых инфицированных компьютеров в сети сейчас не превышает 1–2 в сутки. Эти цифры могут в целом свидетельствовать о том, что представители фармацевтической индустрии недостаточно серьезно относятся к вопросам информационной безопасности и пренебрегают использованием современных средств антивирусной защиты. В частности, антивирусные программы Dr.Web успешно детектируют и удаляют это вредоносное приложение, излечивая зараженные файловые объекты и компоненты операционной системы. Поэтому для пользователей продукции компании «Доктор Веб» троянец BackDoor.Dande не представляет серьезной опасности.

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый содержательный комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2017

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А