Flashpoint: Троян Dridex использует новый метод обхода UAC
Главная » Новости
Публичное облако: кто отвечает за безопасность?Облако в 2026 году — это уже не просто серверы у провайдера, а полноценная часть ИТ-инфраструктуры компании. И главные риски сегодня связаны не с “железом”, а с ошибками настройки, избыточными доступами, API и размытыми зонами ответственности. 10 июня в 11:00 в прямом эфире AM Live разберём, как сегодня выглядит безопасность публичного облака и какие ошибки чаще всего приводят к инцидентам.→ Регистрируйтесь по ссылке
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Flashpoint: Троян Dridex использует новый метод обхода UAC

Олег Иванов 30 Января 2017 - 11:31
...
Flashpoint: Троян Dridex использует новый метод обхода UAC

Замеченная недавно кампания по распространению трояна Dridex эффективно использует новый метод обхода контроля учётных записей пользователей (User Account Control, UAC). Об этом предупреждают исследователи в области безопасности Flashpoint.

В появившейся недавно вредоносной кампании по распространению трояна Dridex был замечен новый метода обхода контроля учётных записей пользователей Windows. Этот метод примечателен тем, что в нем используется recdisc.exe - исполняемый файл восстановления диска в Windows. Также во вредоносной программе были замечены еще две особенности: загрузку вредоносного кода с помощью SPP.dll, использование svchost и spoolsrv для связи с командным центром (C&C-сервер).

Dridex в этой кампании распространяется как и раньше - через спам-письма с прилагаемыми документами Word, использующими вредоносные макросы, предназначенные для загрузки и выполнения вредоносного кода. После заражения, троянец перемещает себя из текущего местоположения в папку %TEMP%.

«После того как Dridex укрепился в системе, он пытается всеми доступными способами получить от пользователя информацию для доступа к банк-клиентам. Причем авторы трояна способны создать диалоговое окно запроса, пытаясь сделать его максимально похожим на отправленный банком запрос» - объясняет аналитик Flashpoint Витали Кремец (Vitali Kremez).

Троян использует утилиту для восстановления диска recdisc.exe для загрузки подмененной библиотеки SPP.dll, такими образом он обходит защиту UAC. Это происходит потому что операционная система отправляет эту программу в белый список для автоматической загрузки.

Алгоритм действий Dridex выглядит так:

  1. Создает папку Windows\System32\6886
  2. Копирует легитимный файл Windows\System32\recdisc.exe в эту папку
  3. Копирует себя в %APPDATA%\Local\Temp как tmp-файл
  4. Перемещает себя в Windows\System32\6886\SPP.dll
  5. Удаляет файлы из папки Windows\System32 по следующим маскам: wu*.exe и po*.dll
  6. Запускает recdisc.exe и запускает свою копию SPP.dll с правами администратора

Эксперты также определили, что вредонос взаимодействует по сети через 4431-4433 порты.

Следующая главная новость »
AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

В Нижневартовске сломался «Умный транспорт»: автобусы исчезли с карты
Екатерина Быстрова 05 Июня 2026 - 09:33
Сбои программ Домашние пользователиГосударство
В Нижневартовске сломался «Умный транспорт»: автобусы исчезли с карты

Жители Нижневартовска неожиданно остались без привычного способа отслеживать автобусы. В городе произошёл сбой в работе приложения «Умный транспорт», из-за чего на карте перестал отображаться общественный транспорт.

Как сообщает телеграм-канал «Транспортный цех», при попытке воспользоваться сервисом пользователи видят практически пустую карту, автобусы на ней просто отсутствуют. Нет автобусов — нет и понимания, через сколько они приедут.

В компании «Домтрансавто», которая является основным перевозчиком города, подтвердили наличие проблемы. По словам представителей перевозчика, причиной стал временный технический сбой.

Сейчас специалисты занимаются поиском и устранением неполадок. В компании заверили, что проблема затронула только приложение для отслеживания транспорта, а сами автобусы продолжают работать в обычном режиме.

Общественный транспорт по улицам ездит, просто цифровая витрина внезапно перестала показывать, где именно он находится.

Пока сервис восстанавливают, пассажирам предлагают пользоваться альтернативными приложениями. В качестве примера называют «Яндекс Карты», где движение автобусов по-прежнему отображается.

Ситуация в очередной раз напоминает, насколько сильно жители городов привыкли к цифровым сервисам. Ещё несколько лет назад люди спокойно выходили на остановку и ждали автобус по расписанию. Сегодня исчезновение иконок на карте вызывает почти такой же уровень тревоги, как отсутствие самих автобусов.

Когда именно «Умный транспорт» вернётся к нормальной работе, пока не сообщается.

На фоне этого любопытно выглядит опыт соседнего Сургута. Ранее городские власти заключили соглашение с компанией 2ГИС, благодаря чему жители могут отслеживать движение автобусов и смотреть расписание прямо в картографическом сервисе.

AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!
70% компаний в России используют западные системы резервного копирования
Новость
70% компаний в России используют западные системы резервного...
В России предложили закрыть соцсети для детей младше 14 лет
Новость
В России предложили закрыть соцсети для детей младше 14 лет
Онлайн-заседание правительства Курской области сорвала DDoS-атака
Новость
Онлайн-заседание правительства Курской области сорвала DDoS-...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.