Перейти к содержанию
AM_Bot

Вирусописатели создали троянец, угрожающий фармацевтическим компаниям

Recommended Posts

AM_Bot

10 ноября 2011 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении вредоносной программы BackDoor.Dande, заражающей компьютеры, работающие под управлением Windows XP/2003 Server. Данный бэкдор загружает и запускает в системе троянца, крадущего информацию из клиентских программ "Системы электронного заказа", предназначенных для фармацевтических компаний.

Запускаясь на инфицированном компьютере, BackDoor.Dande (написан на языке C) проверяет, не установлен ли он уже в системе, определяет имя текущего пользователя, а также версию ОС. Если это — Windows XP или Windows Server 2003, бэкдор устанавливает соединение с удаленным управляющим сервером и загружает оттуда зашифрованный конфигурационный файл, а также код троянской программы Trojan.PWS.Dande, которая дешифруется и сохраняется в одной из папок. Кроме того, бэкдор обладает возможностью выполнять поступающие из командного центра директивы, такие как, например, команда на скачивание, сохранение и запуск модуля Trojan.PWS.Dande, удаление этого модуля, запись данных в конфигурационный файл и т.д.

Следует отметить, что этот бэкдор обладает весьма любопытным механизмом поиска управляющих серверов: в случае, если один из них внезапно окажется закрыт, троянец отыщет новый согласно заложенному в него алгоритму, позволяющему генерировать имя командного центра. Кроме того, полезная нагрузка способна запускаться только на той машине, которая была инфицирована этим вредоносным ПО. Поскольку троянец заражает библиотеку advapi32.dll, которая загружается во все запущенные в системе процессы, код беспрепятственно встраивается в них.

dande_350.png

Trojan.PWS.Dande предназначен для кражи данных клиентских приложений семейства "Системы электронного заказа", позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты. Среди таких приложений специализированная конфигурация «Аналит: Фармация 7.7» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие. Среди собираемых данных — сведения об установленном на компьютере программном обеспечении, пароли учетных записей и т.д. Можно предположить, что интерес для злоумышленников представляют в основном данные о ценах и объемах заказа медикаментов. Вся похищенная информация передается на их сервер в зашифрованном виде. Иными словами, в данном случае мы имеем дело с редким представителем узкоспециализированных троянских программ, ориентированных на кражу информации строго в определенной сфере бизнеса.

Сигнатуры данных угроз и предназначенный для лечения последствий заражения скрипт уже добавлены в базы антивирусного ПО Dr.Web.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

имеем дело с редким представителем узкоспециализированных троянских программ
После успеха данной программы над подобными вещами и другие отрасли могут задуматься.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Maoma
      Лично я вывожу через этот обменник https://www.bestchange.ru/ , уже не первый год обмениваю Биткоин  через него. И знаете, тут всегда один из лучших курсов и оперативные транзакции. К тому же, есть постоянная поддержка, в которую я поначалу несколько раз обращался. Можете смело им пользоваться, за них готов поручиться.
    • Alushaa
      Удобное приложение кстати https://anderbot.com/android/apps/?id=com.ltomaszewski.burger_king_coupons  Которое можно использовать для получения различных промокодов и прочему. Так что очень советую его использовать, благо оно бесплатное)
    • actmart
      У меня супруга подсела на алмазную вышивку  как оказалось совсем не дорогое увлечение,всю дачу уже украсила своими творениями! А самое главное стала не такая нервная как раньше мне это больше всего нравится!
    • Quinzy
      Граждане, как думаете, стоит ли из Финляндии везти Айфон? Скоро там буду  и даже нашёл статью про цены и, где лучше всего брать там Айфоны https://myfinlandia.ru/shopping/chto-kupit/gde-kupit-iphone-v-finlyandii.html . Нравится то, что, в отличии от наших магазинов, его можно будет вернуть, если вдруг чего не так. Правда цены примерно одинаковые. Стоит ли там брать или лучше у нас? 
    • PVE1
      Фаленопсис, цимбидиум и ванда. Где какие, уже загуглите по названиям.
×