-
añadir a favoritos
Eso también pasa a veces
lunes 16 de octubre de 2017
Qué piensa Vd., ¿será interesante el trabajo de analistas de virus? ¿Todos los días encuentran malware importante, interesante y que funciona?
«El trabajo de los analistas de virus es muy difícil e importante, — dice Igor Danilov. — Por lo tanto, estos expertos son de demanda en todo el mundo por su conocimiento único».
En las noticias suelen mencionarse las amenazas que llaman la atención. Por ejemplo, que tienne características interesantes o causan epidemias. Pero los analistas no siempre investigan los archivos nocivos importantes. Por ejemplo:
Los expertos de CERT-UA analizaron un archivo que llegaba adjunto al mensaje.
Su modo de difusión típico es a través del correo.
El script, si hay permiso de ejecución de archivos js en el equipo, carga svc.exe y lo inicia una vez detectada la fecha del equipo infectado, que no debe ser posterior a 29.10.2017.
El mensaje contiene un script cuya activación permite cargar en archivo ejecutable en el equipo. Tampoco pasa nada extraordinario.
Una vez cifrado, el sistema no se reinicia, pero en el escritorio aparecen los archivos con imágenes de monedas y los archivos temporales, como resultado de cifrado de documentos
Durante la ejecución del archivo cifrador (svc.exe) también se crea un archivo con nombre aleatorio (por ejemplo, 623.ехе) que se guarda en el equipo y se ejecuta cono aplicación de consola.
El cifrador usa la vulnerabilidad CVE-2017-0263 para mejorar sus privilegios.
Otra vez nada particular. ¿Qué hay de inusual en este cifrador?
Se detectó que el cifrador de archivos no funciona si en el sistema no hay biblioteca msxml2.dll.
Simplemente no funciona. Esto también pasa. Y también a veces perdemos el tiempo analizando esta “basura”.
«Ahora también aparecen algunas muestras «interesantes». Pero no me interesan mucho, Sí, su realización es más difícil, tecnológicamente son más sofisticadas. Pero no hay ideas. Todo ya fue creado antes.»
P.S. El archivo nocivo descrito se detecta por el antivirus Dr.Web como JS.Downloader.4232 y no es de peligro para nuestros usuarios.
#software_nocivoEl mundo de antivirus recomienda
Recibimos muchos archivos nocivos para el análisis a nuestro laboratorio de virus. Tanto los hackers con mucha experiencia como los principiantes los crean. Por supuesto, la calidad de creación de archivos nocivos también puede ser distinta. El caso descrito más arriba no es único, es una historia bastante típica. También confirma que los programas nocivos no son de muy alta calidad. Pero, al penetrar en un equipo, hasta un programa de este tipo puede causar consecuencias imprevistas.
Por lo tanto, por muy inofensivo que sea un programa nocivo, no hay que dejar que penetre en el equipo.
A propósito, ¿qué pasará si, al instalar una aplicación, la misma solicitará msxml2.dll?
Así es. Y ahora imagina que habría pasado en caso de no tener instalado Dr.Web Security Space.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Compartido 1 veces")
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
vasvet
07:04:13 2018-08-09