Специалисты компании «Доктор Веб» изучили модуль обновления M. E. Doc и обнаружили его отношение к распространению как минимум еще одной вредоносной програмки. Об этом сообщили в фирмы, напомнив, что, по данным независимых ученых, источником недавней эпидемии червя-шифровальщика Trojan.Encoder.12544, вдобавок известного под именами NePetya, Petya.A, ExPetya и WannaCry-2, замерз именно модуль обновления известной на территории Украины програмки для ведения налоговой отчетности M. E. Doc.

Основанием для детального разбора системы обновления программы M. E. Doc замерзла статья, опубликованная одной противовирусной компанией, указывает «Доктор Веб». В заметке, в частности, утверждается, что начальное распространение червя Trojan.Encoder.12544 осуществлялось через популярного приложения M. E. Doc, разработанного автокефальной компанией Intellect Service. В одном изо модулей системы обновления M. E. Doc с именованием ZvitPublishedObjects.Server.MeCom вирусные специалисты компании «Доктор Веб» обнаружили отметка, соответствующую характерному ключу целого реестра Windows: HKCUSOFTWAREWC.

Эксперты компании «Доктор Веб» обратили внимание в этот ключ реестра в отношения с тем, что этот же путь пользуется в своей работе троянец-шифровальщик Trojan.Encoder.12703. «Анализ журнала антивируса Dr.Web, приобретенного с компьютера одного из наших покупателей, показал, что энкодер Trojan.Encoder.12703 был брошен на инфицированной машине прибавлением ProgramDataMedocMedocezvit.exe, что является компонентом программы M. E. Doc», — рассказывают в фирмы.

«Запрошенный с зараженной машины документ ZvitPublishedObjects.dll имел тот же хеш, что и проверенный в вирусной лаборатории «Доктор Веб» образец. Таковым образом, наши аналитики наступили к выводу, что модуль обновления програмки M. E. Doc, реализованный в виде динамической библиотеки ZvitPublishedObjects.dll, охватывает бэкдор (дефект алгоритма, некоторый намеренно встраивается в него разработчиком и дает возможность получить несанкционированный доступ к данным либо удаленному управлению операционной порядком и компьютером в целом. — Первый. Банки.ру). Дальнейшее свидетельство показало, что этот бэкдор возможно выполнять в инфицированной системе последующие функции: сбор данных для доступа к почтовым серверам; исполнение произвольных команд в инфицированной порядку; загрузку на зараженный голова произвольных файлов; загрузку, хранение и запуск любых исполняемых файлов; выгрузку произвольных файлов в удаленный сервер», — ориентируют разработчики антивирусов.

Они приводят скриншот «весьма интересного», после их словам, фрагмента заключение модуля обновления M. E. Doc, который «позволяет бросать полезную нагрузку при поддержки утилиты rundll32.exe с параметром #1». «Именно таковым образом на компьютерах жертв был брошен троянец-шифровальщик, известный будто NePetya, Petya.A, ExPetya и WannaCry-2 (Trojan.Encoder.12544)», — заключают эксперты.

Они подсказывают, что в интервью Reuters разработчики програмки M. E. Doc уверяли в отсутствии вредоносных функций у сделанного ими приложения. «Исходя изо этого, а также учитывая данные неподвижного анализа кода, вирусные специалисты «Доктор Веб» пришли к выводу, что некие неустановленные преступники инфицировали один из ингредиентов M. E. Doc вредоносной программой», — отмечается в известии.

В компании уточняют, что подтвержденный компонент был добавлен в вирусные банки Dr.Web под именем BackDoor.Medoc.

Гестапо Украины во вторник отняла серверы M. E. Doc в связи с расследованием произошедшей в прошлой неделе кибератаки. О этом сообщает во вторник ТАСС с ссылкой на агентство Reuters, получившее данные от главы департамента киберполиции Министерство Украины Сергея Демедюка.

В опубликованном в вторник интервью агентству Associated Press Демедюк сообщил, что разработчикам M. E. Dос станут предъявлены обвинения в халатности в отношения с кибератакой, так как фирма не приняла мер после усилению своей киберзащиты, несмотря в предупреждения. «Они знали о этом, — заявил Демедюк. — Разные компании по борьбе с компьютерными вирусами немало раз предупреждали их. За собственную халатность они понесут криминальную ответственность».

Новость