Flashpoint: Троян Dridex использует новый метод обхода UAC
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Flashpoint: Троян Dridex использует новый метод обхода UAC

Олег Иванов 30 Января 2017 - 11:31
...
Flashpoint: Троян Dridex использует новый метод обхода UAC

Замеченная недавно кампания по распространению трояна Dridex эффективно использует новый метод обхода контроля учётных записей пользователей (User Account Control, UAC). Об этом предупреждают исследователи в области безопасности Flashpoint.

В появившейся недавно вредоносной кампании по распространению трояна Dridex был замечен новый метода обхода контроля учётных записей пользователей Windows. Этот метод примечателен тем, что в нем используется recdisc.exe - исполняемый файл восстановления диска в Windows. Также во вредоносной программе были замечены еще две особенности: загрузку вредоносного кода с помощью SPP.dll, использование svchost и spoolsrv для связи с командным центром (C&C-сервер).

Dridex в этой кампании распространяется как и раньше - через спам-письма с прилагаемыми документами Word, использующими вредоносные макросы, предназначенные для загрузки и выполнения вредоносного кода. После заражения, троянец перемещает себя из текущего местоположения в папку %TEMP%.

«После того как Dridex укрепился в системе, он пытается всеми доступными способами получить от пользователя информацию для доступа к банк-клиентам. Причем авторы трояна способны создать диалоговое окно запроса, пытаясь сделать его максимально похожим на отправленный банком запрос» - объясняет аналитик Flashpoint Витали Кремец (Vitali Kremez).

Троян использует утилиту для восстановления диска recdisc.exe для загрузки подмененной библиотеки SPP.dll, такими образом он обходит защиту UAC. Это происходит потому что операционная система отправляет эту программу в белый список для автоматической загрузки.

Алгоритм действий Dridex выглядит так:

  1. Создает папку Windows\System32\6886
  2. Копирует легитимный файл Windows\System32\recdisc.exe в эту папку
  3. Копирует себя в %APPDATA%\Local\Temp как tmp-файл
  4. Перемещает себя в Windows\System32\6886\SPP.dll
  5. Удаляет файлы из папки Windows\System32 по следующим маскам: wu*.exe и po*.dll
  6. Запускает recdisc.exe и запускает свою копию SPP.dll с правами администратора

Эксперты также определили, что вредонос взаимодействует по сети через 4431-4433 порты.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники запустили фейковую акцию с дивидендами ко Дню единства
Екатерина Быстрова 01 Ноября 2025 - 09:43
МошенничествоОнлайн-мошенничество Домашние пользователи F6
Мошенники запустили фейковую акцию с дивидендами ко Дню единства

Компания F6 зафиксировала крупную фишинговую кампанию, приуроченную ко Дню народного единства. Злоумышленники создали более 300 сайтов-приманок, где публиковали ложную новость о том, что всем гражданам России якобы положены выплаты по 75 тысяч рублей от продажи нефти и газа.

На этих сайтах пользователей убеждали, что деньги «начисляют до 4 ноября» — достаточно лишь выбрать возрастную категорию и указать свои ФИО и номер телефона.

После этого, как отмечают в F6, человеку звонит «персональный менеджер» и предлагает внести небольшой взнос, чтобы «увеличить капитал». Кончается всё предсказуемо — потерей всех средств.

Чтобы усилить доверие, мошенники разместили на страницах фейковые отзывы от имени «граждан», которые якобы уже получили выплаты.

Эксперты F6 направили данные более 300 мошеннических доменов на блокировку.

«Мы видим, как злоумышленники начали использовать не только традиционные праздники — вроде Нового года, 23 февраля или 8 марта, — но и другие даты, которые ассоциируются с государственными выплатами или подарками, — рассказывает Анастасия Мамынова, ведущий аналитик департамента Digital Risk Protection компании F6. — Ранее они запускали “акции” даже в честь Масленицы, а теперь добрались до Дня народного единства».

F6 напоминает: любые обещания лёгких денег — повод насторожиться. Государственные выплаты никогда не оформляются через сторонние сайты и тем более не требуют ввода личных данных или предварительных «взносов».

Главное правило — не переходить по подозрительным ссылкам и не верить в «дивиденды от нефти и газа». Это классическая схема инвестиционного мошенничества, цель которой — выманить ваши деньги под видом «выгодных вложений».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Росатом ведет переговоры о покупке Нетрика Медицина
Новость
Росатом ведет переговоры о покупке Нетрика Медицина
Встроенные защитные механизмы macOS становятся каналом для атак и утечек
Новость
Встроенные защитные механизмы macOS становятся каналом для а...
Баг-хантеры нашли 300 уязвимостей в Т-Банке и Wildberries, получили 8 млн
Новость
Баг-хантеры нашли 300 уязвимостей в Т-Банке и Wildberries, п...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.