«Доктор Веб»: M.E.Doc содержит «дыру», дающую злоумышленникам доступ к компьютеру

Дата публикации: 04.07.2017 20:44
2 996
3 Время прочтения: 3 минуты
Источник
Banki.ru

Аналитики компании «Доктор Веб» исследовали модуль обновления M.E.Doc и обнаружили его причастность к распространению как минимум еще одной вредоносной программы. Об этом сообщили в компании, напомнив, что, по данным независимых исследователей, источником недавней эпидемии червя-шифровальщика Trojan.Encoder.12544, также известного под именами NePetya, Petya.A, ExPetya и WannaCry-2, стал именно модуль обновления популярной на территории Украины программы для ведения налоговой отчетности M.E.Doc.

Основанием для детального анализа системы обновления программы M.E.Doc стала статья, опубликованная одной антивирусной компанией, указывает «Доктор Веб». В статье, в частности, утверждается, что первоначальное распространение червя Trojan.Encoder.12544 осуществлялось посредством популярного приложения M.E.Doc, разработанного украинской компанией Intellect Service. В одном из модулей системы обновления M.E.Doc с именем ZvitPublishedObjects.Server.MeCom вирусные аналитики компании «Доктор Веб» обнаружили запись, соответствующую характерному ключу системного реестра Windows: HKCU\SOFTWARE\WC.

Специалисты компании «Доктор Веб» обратили внимание на этот ключ реестра в связи с тем, что этот же путь использует в своей работе троянец-шифровальщик Trojan.Encoder.12703. «Анализ журнала антивируса Dr.Web, полученного с компьютера одного из наших клиентов, показал, что энкодер Trojan.Encoder.12703 был запущен на инфицированной машине приложением ProgramData\Medoc\Medoc\ezvit.exe, которое является компонентом программы M.E.Doc», — рассказывают в компании.

«Запрошенный с зараженной машины файл ZvitPublishedObjects.dll имел тот же хеш, что и исследованный в вирусной лаборатории «Доктор Веб» образец. Таким образом, наши аналитики пришли к выводу, что модуль обновления программы M.E.Doc, реализованный в виде динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор (дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удаленному управлению операционной системой и компьютером в целом. — Прим. Банки.ру). Дальнейшее исследование показало, что этот бэкдор может выполнять в инфицированной системе следующие функции: сбор данных для доступа к почтовым серверам; выполнение произвольных команд в инфицированной системе; загрузку на зараженный компьютер произвольных файлов; загрузку, сохранение и запуск любых исполняемых файлов; выгрузку произвольных файлов на удаленный сервер», — указывают разработчики антивирусов.

Они приводят скриншот «весьма интересного», по их словам, фрагмента кода модуля обновления M.E.Doc, который «позволяет запускать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1». «Именно таким образом на компьютерах жертв был запущен троянец-шифровальщик, известный как NePetya, Petya.A, ExPetya и WannaCry-2 (Trojan.Encoder.12544)», — заключают эксперты.

Они напоминают, что в интервью Reuters разработчики программы M.E.Doc уверяли в отсутствии вредоносных функций у созданного ими приложения. «Исходя из этого, а также учитывая данные статического анализа кода, вирусные аналитики «Доктор Веб» пришли к выводу, что некие неустановленные злоумышленники инфицировали один из компонентов M.E.Doc вредоносной программой», — отмечается в сообщении.

В компании уточняют, что указанный компонент был добавлен в вирусные базы Dr.Web под именем BackDoor.Medoc.

Полиция Украины во вторник конфисковала серверы M.E.Doc в связи с расследованием произошедшей на прошлой неделе кибератаки. Об этом сообщает во вторник ТАСС со ссылкой на агентство Reuters, получившее информацию от главы департамента киберполиции МВД Украины Сергея Демедюка.

В опубликованном во вторник интервью агентству Associated Press Демедюк заявил, что разработчикам M.E.Dос будут предъявлены обвинения в халатности в связи с кибератакой, так как компания не приняла мер по усилению своей киберзащиты, несмотря на предупреждения. «Они знали об этом, — заявил Демедюк. — Разные фирмы по борьбе с компьютерными вирусами много раз предупреждали их. За свою халатность они понесут уголовную ответственность».

Читать в Telegram
telegram icon

Комментарии

3
Скрыть
Комментарии могут оставлять только зарегистрированные пользователи.

Вполне вероятно, что в этой компании работала "крыса" или сотрудник-программист, к рабочему месту которого был возможен посторонний доступ. Насчёт "крысы": вероятно, некоторые помнят историю с бывшим сотрудником Касперского, который сейчас находится под следствием. Здесь похожий случай. Если разработчики использовали современную систему, где все изменения в тексте исходного кода сохраняются в истории (примерно так, как работает Wikipedia), то можно легко найти, под чьим именем был вставлен код этого backdoor'а. Остальное уже дело следствия.
0

taj2
04.07.2017 23:01
Естественно системы контроля версий применяются, без этого разрабатывать такой большой и сложный продукт практически не возможно.
Посторонний человек просто так ничего не встроит. Либо сами, либо по указу свыше сделали. Тут 100%
0

alekseyp
05.07.2017 03:17
Послушайте, это рука Кремля встроила! На украинских каналах один из депутатов Рады однозначно уверял, что во всем виновата российская компания M.E.Dос. Так что будьте добры исправить текст!
0

Обучение

Материалы по теме