Киберполиция рассказала, как проник вирус-вымогатель «фото»

Киберполиция рассказала, как проник вирус-вымогатель

Достоверно известно на данный момент, что вирусная атака на украинские компании возникла из-за программы «M.E.doc.» Ее используют для отчетности и документооборота.

Об этом корреспонденту Украинской Службы Информации рассказали в департаменте киберполиции ГУНП.

Программное обеспечение «M.E.doc.» имеет встроенную функцию обновления, которая периодически обращается к серверу: «upd.me-doc.com.ua» (92.60.184.55) с помощью User Agent «medoc1001189».

Обновления имеют хэш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54.
Количество легитимных «пингов» (обращений к серверу) равно примерно 300 байт.

Этим утром, в 10:30, программа «M.E.doc.» была обновлена. Количество пингов — примерно 333 Кбайт. После загрузки обновления началась активация вируса-вымогателя. Поэтапно это выглядело следующим образом:

— создание файла: rundll32.exe
— обращение к локальным IP-адресам на порт 139 TCP и порт 445 TCP
-создание файла: perfc.bat
— запуск cmd.exe с последующей командой: / c schtasks / RU «SYSTEM» / Create / SC once / TN «» / TR «C: Windows system32 shutdown.exe / r / f» / ST 14:35 »
— создание файла: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и его последующий запуск
— создание файла: dllhost.dat

Киберполиция разбирается в дальнейших этапах вирусной атаки. Через некоторое время появится более подробная информация.

Как сообщала USIonline.com, вирусной атакой занялась СБУ.