ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Вирусная библиотека

Анализ используемых злоумышленниками технологий позволяет нам делать выводы о возможных векторах развития вирусной индустрии и еще эффективней противостоять будущим угрозам. Узнайте и вы о том, как действуют в зараженных системах те или иные вредоносные программы и как этому противостоять.

ePrica в вирусной библиотеке:

SHA1:Имя файлаИмя dll после расшифровкиОписание
726613215a29826a33e96486222ec9ff2ad2c077setup_4_0_14_6.exe установщик ePrica 4.0.14.6
0bb3f466476e241e5da29fe77775f65bbcb337bclx01af01.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
9111571131730e127480036420deef6cd8549638lx02af02.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
bff77975cfea2439a46db1c0e09c6d42687ae4b3lx03af03.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
f1a7f4144220493576f172ef64ce7f0e4a9f1df9lx04af04.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
f104d5e3b2fa88c2fcc81aa88e6f3667d4924277lx05af05.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
feef00d7e7903cb3b4548b9e9e02df892797fea3lx07af07.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
5f7931c88681c0eb807dbd716601eb2b82978918lx10af10.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
634ff6e29558c415849d4d1a1f23d406a41f722elx10af20.nlbinstaller.dllBackDoor.Dande.2 с драйвером isaPnpPrt
13e3e4f7747476af6016d3a64bbbca74abdb2dbelx10af39.nlbinstaller.dllBackDoor.Dande.2 с драйвером isaPnpPrt
8120d603bd2019cc36560bb94f76a4c2bbd7160clx11af11.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
45ee755c3210e93db8590dd0b1b120164131798clx12af12.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
802b5603c7179c27ce1e6d4fdbfbae6db5bc5d93lx14af14.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
0b376df2f722f4b15097a4a357dc5afdea628e77lx15af15.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
ea89eaacffa8c38ff31e55caaa8463177a249c1flx16af16.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
be921123ed231bcc864c92a5a58353974674d1aflx18af18.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
8a562438d5fdb18482d5a41f2f17b23da9d2ef77lx19af19.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
ca67331a469fc1f91fe5ac5dbb045a022c2f46e9lx20af20.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
2392507fa6ff223ad125d42a0e1df28a5959a7b6lx20af5.nlbtest_pandora.dllграббер прайс-листов для SIA International
0d6d3ff8f68351a5bef1d5b827974ae8ab796cb7lx22af22.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
34a63864b736f2819a9c02689577de74d53a10ealx23af23.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
fceb12b591296fcba0ed5dc682cfa168c935c91blx24af24.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
90327f60b94f399a9a1718f94611a97b7f4df46dlx25af25.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
b5d9306d55d8ccc70a8b88e1c863d4fce0987819lx26af26.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
744405c3441a6c37f33ac0b85a994f5ac43cbe82lx27af27.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
08a6f14da840bddaac8710da9ef11d8e0d983402lx30af30.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
1e7271a192c6336848a48d0c327e8c17731e7c89lx31af31.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
f85d9cdd4fd883f9bc840bb2af999d0ec75864fdlx33af33.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
bbba32c25d9212dfd9eaade8f946d5e8fc6fb6c0lx37af37.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
e5e7f98a693f79b630ea78f358c4be0f6f3a2296lx39af39.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
abc12800a1260c2d5c10d01a51042429b09642e1lx40AA0.nlbProject2.dllграббер для AHold32.exe, WinPrice.exe, RSFOrder.exe
784aa1b9f3e450d569f58881df02a6d54fc2b1delx40af40.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
503cf82fed9559083ba972e72db6332c2de0488clx42af42.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
476900f361a569571d38349c3f4bd32af98d0437lx44af44.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
587ed7891b41ae911f80a6c485f0b52bfd504359lx50SL1.nlbrsforder.dllграббер для AHold32.exe, WinPrice.exe, RSFOrder.exe, tamda.exe
c06ad7f64afaff90d4da588b64dbea9f524b842alx55Gl92.nlbProject1.dllграббер для AHold
4084b8027d876a75cf8fc808ac49ebc60a022424lx607cb.nlbstatus.dllсбор информации о системе, антивирусах и проверка установленного драйвера isaPnpPrt.sys троянца Dande
4d1bd71913abe85bc1a86e3abaca1a450cd0ff41fe.emdFE.dllграббер прайс-листов
a1c9de6599ee6b505de15aba65fc26401dea9a1agci.emdgci.dllAHold32.exe, Dongos_Client.exe, Alliance Healthcare Russia, WinPrice.exe, FM_Client.exe, RSFOrder.exe, tamda.exe
63a18cf6c11a8b073f9646d73ab8ec3f794380e5lx98fc01.emdfac.dllграббер прайс-листов
d88e6ffabf52b4c8d27ad8f0da91889309408e76lx99ia01.emdifc.dllграббер прайс-листов
21b0e95f93fdb4c008245417f0897fbcec3acb28rwj.emdrwj.dllRUSSM
471ca3f6af4bc04d878241aaa1f01a8f494c46e7san2.emdSan.dllграббер szpost.dbf, sztovar.dbf, NSZPOSTID
37eaba2de2b16b23fe99eac4492ea7c86df0e3efsee.emdke.dllWinPrice.exe
24d51713e45b944ed288f211b102028b0759e0ffrunmod.exe модуль расшифровки и запуска плагинов из памяти
7002f14f42d315f41e4d52d0befbdfd22374cbb5emd.kst приватный ключ, защищенный паролем

Цифровая подпись файла runmod.exe:

screenshot ePrica #drweb

eZakaz

SHA1:Имя файлаИмя dll после расшифровкиОписание
4d4e86391c04029604e90da62f73ed6ab6af3dbddkny.emddkny.dllграббер для gaz.exe
4d1bd71913abe85bc1a86e3abaca1a450cd0ff41fe.emdFE.dllграббер прайс-листов
d0948749bd8164ca9ff11cee0a943b77f5545db5gci.emdgci.dllAHold32.exe, Dongos_Client.exe, Alliance Healthcare Russia, WinPrice.exe, FM_Client.exe, RSFOrder.exe, tamda.exe
ec1ebec5d396a669cac4b54f0c34f95995389d8fgcif.emdgcif.dllграббер прайс-листов
86af6fcf21a5894f104bc5fc1566b829725e71b9gep.emdge.dllграббер прайс-листов
ac479abdfd94aa56d843f96b20f792d85956c4bckep.emd граббер для WinPrice.exe
145190fe0abaef753c8383e641011b8bc4fd6992lx01af01.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
9a23565402457428973689377b454cb495504aablx01rwk.nlbrwk.dllграббер RUSSM
400068f63b58f84c5e186aa3bf999d9194c75299lx01tu01.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
ea11e708f5a3193173253ecfadfffba31fc4b3f2lx05af05.nlbinstaller.dllBackDoor.Dande.2 с драйвером RpcSsPrt
d77111608915a0e7ba1f6b5549907eab274c68b1lx10af1.nlbstarter.dll.dllWin32.Dande (первая версия)
2392507fa6ff223ad125d42a0e1df28a5959a7b6lx20af5.nlbtest_pandora.dllграббер прайс-листов для SIA International
18b61504cd2eb7c53ad5adcedc677cc81fa5bceflx20df5.nlbtest_pandora.dllграббер прайс-листов для siacli
34b81b0b0bb71114635de01cf62a952bbd6e8a10lx40AA0.nlbProject2.dllграббер для AHold32.exe, WinPrice.exe, RSFOrder.exe
2c98831cfb73a7ae90420dfb9cfdbfe1f71d5ab2lx50SL1.nlbrsforder.dllграббер для AHold32.exe, WinPrice.exe, RSFOrder.exe, tamda.exe
db28824564fc0a3a47dbfed415b80ed127240d9alx55Gl92.nlbProject1.dllграббер для AHold
66336f359ed04648a12b8537a9507ac3c15ebdd2lx607cb.nlbstatus.dllсбор информации о системе и антивирусах, проверка установленного драйвера isaPnpPrt.sys Dande
31ad2082d21f9cef17de6ab052886406f848fe66lx61af01.nlbpmd.dllграббер прайс-листов
a1c9fbb3366fec6ad107e0a8daec54fb004c9f18lx63zf01.emdlx63zf01.dllграббер прайс-листов для FClient.exe
15f348d73b41933c875374841028403c6c7d7d6clx99ia01.emdifc.dllграббер прайс-листов
8b2f26f2ddd0e0e0ebc1f1490f3152e8c1857264rwj.emdrwj.dllRUSSM
37eaba2de2b16b23fe99eac4492ea7c86df0e3efsee.emdke.dllWinPrice.exe
3bc30284dd5285f186dcd29ebf601442f1a4d4bbzakaz.exe расшифровывает плагины в памяти и запускает их; является клиентской частью программы
7002f14f42d315f41e4d52d0befbdfd22374cbb5emd.kst приватный ключ, защищенный паролем
b70ef72af2374fec42fa16ea84620f9503880c61DataCollector.dlloradc32.dllграббер прайс-листов из баз данных 1С (BackDoor.Dande.62)

Цифровая подпись файла zakaz.exe:

screenshot ePrica #drweb

Троянские файлы, детектируются как BackDoor.Dande.63BackDoor.Dande.159.

zakaz.exe

Компонент приложения eZakaz, который расшифровывает свои плагины с использованием приватного ключа emd.kst и запускает их в оперативной памяти. Также работает с базой данных программы eZakaz.

runmod.exe

Компонент ePrica, который расшифровывает свои плагины с использованием приватного ключа emd.kst и запускает их в оперативной памяти. После обнаружения пароля от ключа («flatron2005») вирусным аналитикам удалось расшифровать эти плагины.

oradc32.dll

Плагин, который копирует информацию о закупке медикаментов из базы данных приложения 1С. Для определения местонахождения баз использует следующую ветвь системного реестра:

[HKEY_CURRENT_USER\Software\1C\1Cv7\7.7\Titles]

Сканирует каталоги и выполняет в них поиск баз с именами 1Cv7.MD и 1Cv7.DD. В случае обнаружения ищет в них ключ TaskItem и проверяет присутствие слова «фарма». Плагин сохраняет информацию о пути до найденных баз.

Также пытается найти базы с именами RA844.DBF и RA1227.DBF. Если они обнаруживаются, выполняет их синтаксический анализ (парсинг).

Сохраняет отчет в файл oradc32.st, который сжимается библиотекой zlib.

После удаления приложения ePrica троянские модули остаются на зараженном компьютере и продолжают работать.

Новость о программе

Уязвимости для Android

По статистике каждая пятая программа для ОС Android — с уязвимостью (или, иными словами, — с «дырой»), что позволяет злоумышленникам успешно внедрять мобильных троянцев на устройства и выполнять нужные им действия.

Аудитор безопасности в Dr.Web для Android произведет диагностику и анализ безопасности мобильного устройства, предложит решения для устранения выявленных проблем и уязвимостей.

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

Dr.Web © «Доктор Веб»
2003 — 2021

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А