Главным каналом распространения вируса Petya.А, который атаковал компьютеры украинских компаний 27 июня, стала бухгалтерская программа M.E.doc производства Украины.
Самое важное. Самое полезное. Самое интересное...
Главным каналом распространения вируса Petya.А, который атаковал компьютеры украинских компаний 27 июня, стала бухгалтерская программа M.E.doc производства Украины.
Об этом сообщается на странице в департамента киберполиции Национальной полиции Украины.
«На данный момент предварительно известно, что вирусная атака на украинские компании возникла из-за программы M.E.doc (программное обеспечение для отчётности и документооборота)», — говорится в сообщении.
На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму "M.E.doc." (програмне забезпечення для звітності та документообігу)
Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до серверу: "upd.me-doc.com.ua" (92.60.184.55) за допомогою User Agent "medoc1001189".
Оновлення має хеш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54.
Більшість легітимниг "пінгів" (звернень до серверу) дорівнює приблизно 300 байт.
Цього ранку, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, та після його завантаження відбувались наступні дії:
- створено файл: rundll32.exe;
- звернення до локальних IP-адрес на порт 139 TCP та порт 445 TCP;
- створення файлу: perfc.bat;
- запуск cmd.exe з наступною командою: /c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR "C:\Windows\system32\shutdown.exe /r /f" /ST 14:35”;
- створення файлу: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) та його подальший запуск;
- створення файлу: dllhost.dat.В подальшому, шкідливе програмне забезпечення розповсюджувалось за допомогою вразливості у протоколі SMB (яка також використовувалась під час атак WannaCry).
Рекомендація:
- тимчасово не застосовувати оновлення, які пропонує програмне забезпечення "M.E.doc." при запуску;
Інформація оновлюється!
Ранее стало известно, что масштабная кибератака, затронувшая различные компании и сети органов власти Украины, .
Руководитель интернет-ассоциации Украины Александр Федиенко исключил причастность Москвы к созданию вируса Petya, который во вторник поразил системы государственной инфраструктуры, банковский сектор и частные компании страны.
«Лично я этой версии (о российском следе) не придерживаюсь. Это больше похоже на борьбу социума с социумом. Существует виртуальный социум хакеров, который каждый раз показывает белому обществу, белому социуму, что не стоит о них забывать», - сказал он в интервью изданию .
Федиенко также заявил, что пораженные компьютеры вряд ли подлежат восстановлению. «Всю пораженную вирусом технику можно просто выбросить на помойку, от этого вируса вылечить компьютеры нереально», - заявил он.
Во вторник газета ВЗГЛЯД сообщала, что в Киеве даже в вирусе, атаковавшем российские компании.
Напомним, от вируса Petya большое количество компаний во всем мире. Распространение вируса с Украины, а в среду атака в Эстонии и Польше.
© 2009 Технополис завтра
Перепечатка материалов приветствуется, при этом гиперссылка на статью или на главную страницу сайта "Технополис завтра" обязательна. Если же Ваши правила строже этих, пожалуйста, пользуйтесь при перепечатке Вашими же правилами.
