M.E.Doc содержит «дыру», дающую злоумышленникам доступ к компьютеру
Аналитики компании «Доктор Веб» исследовали модуль обновления M.E.Doc и обнаружили его причастность к распространению как минимум еще одной вредоносной программы. Об этом сообщили в компании, напомнив, что, по данным независимых исследователей, источником недавней эпидемии червя-шифровальщика Trojan.Encoder.12544, также известного под именами NePetya, Petya.A, ExPetya и WannaCry-2, стал именно модуль обновления популярной на территории Украины программы для ведения налоговой отчетности M.E.Doc.
Основанием для детального анализа системы обновления программы M.E.Doc стала статья, опубликованная одной антивирусной компанией, указывает «Доктор Веб». В статье, в частности, утверждается, что первоначальное распространение червя Trojan.Encoder.12544 осуществлялось посредством популярного приложения M.E.Doc, разработанного украинской компанией Intellect Service. В одном из модулей системы обновления M.E.Doc с именем ZvitPublishedObjects.Server.MeCom вирусные аналитики компании «Доктор Веб» обнаружили запись, соответствующую характерному ключу системного реестра Windows: HKCU\SOFTWARE\WC.
Специалисты компании «Доктор Веб» обратили внимание на этот ключ реестра в связи с тем, что этот же путь использует в своей работе троянец-шифровальщик Trojan.Encoder.12703. «Анализ журнала антивируса Dr.Web, полученного с компьютера одного из наших клиентов, показал, что энкодер Trojan.Encoder.12703 был запущен на инфицированной машине приложением ProgramData\Medoc\Medoc\ezvit.exe, которое является компонентом программы M.E.Doc», — рассказывают в компании.
«Запрошенный с зараженной машины файл ZvitPublishedObjects.dll имел тот же хеш, что и исследованный в вирусной лаборатории «Доктор Веб» образец. Таким образом, наши аналитики пришли к выводу, что модуль обновления программы M.E.Doc, реализованный в виде динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор (дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удаленному управлению операционной системой и компьютером в целом. — Прим. Банки.ру). Дальнейшее исследование показало, что этот бэкдор может выполнять в инфицированной системе следующие функции: сбор данных для доступа к почтовым серверам; выполнение произвольных команд в инфицированной системе; загрузку на зараженный компьютер произвольных файлов; загрузку, сохранение и запуск любых исполняемых файлов; выгрузку произвольных файлов на удаленный сервер», — указывают разработчики антивирусов.
Они приводят скриншот «весьма интересного», по их словам, фрагмента кода модуля обновления M.E.Doc, который «позволяет запускать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1». «Именно таким образом на компьютерах жертв был запущен троянец-шифровальщик, известный как NePetya, Petya.A, ExPetya и WannaCry-2 (Trojan.Encoder.12544)», — заключают эксперты.
Они напоминают, что в интервью Reuters разработчики программы M.E.Doc уверяли в отсутствии вредоносных функций у созданного ими приложения. «Исходя из этого, а также учитывая данные статического анализа кода, вирусные аналитики «Доктор Веб» пришли к выводу, что некие неустановленные злоумышленники инфицировали один из компонентов M.E.Doc вредоносной программой», — отмечается в сообщении.
В компании уточняют, что указанный компонент был добавлен в вирусные базы Dr.Web под именем BackDoor.Medoc.
Полиция Украины во вторник конфисковала серверы M.E.Doc в связи с расследованием произошедшей на прошлой неделе кибератаки. Об этом сообщает во вторник ТАСС со ссылкой на агентство Reuters, получившее информацию от главы департамента киберполиции МВД Украины Сергея Демедюка.
В опубликованном во вторник интервью агентству Associated Press Демедюк заявил, что разработчикам M.E.Dос будут предъявлены обвинения в халатности в связи с кибератакой, так как компания не приняла мер по усилению своей киберзащиты, несмотря на предупреждения. «Они знали об этом, — заявил Демедюк. — Разные фирмы по борьбе с компьютерными вирусами много раз предупреждали их. За свою халатность они понесут уголовную ответственность».
Источник: «Доктор Веб»: M.E.Doc содержит «дыру», дающую злоумышленникам доступ к компьютеру | Банки.ру