AIN.UA » Безопасность, КоллекцииКиберполиция: Вчерашняя вирусная атака прошла через софт для отчетности M.E.doc
EN

Киберполиция: Вчерашняя вирусная атака прошла через софт для отчетности M.E.doc

10601
6

Украинская Киберполиция по следам вчерашней масштабной атаки опубликовала анализ событий. По версии ведомства, вирусная атака возникла из-за уязвимости в программе для отчетности и документооборота M.E.doc. 

«Это ПО имеет встроенную функцию обновления, которая периодически обращается к серверу upd.me-doc.com.ua (92.60.184.55) с помощью User Agent «medoc1001189″. Обновление имеет хеш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54. Большинство легитимных пингов равняется примерно 300 байт. Утром (27 июня — ред.) в 10:30 программа обновилась, обновление составило примерно 333 КБ», — сообщает ведомство. 

По данным Киберполиции, после обновления произошло следующее: 

  • был создан файл rundll32.exe;
  • прошло обращение к локальным IP на TCP-порты 139 и 445;
  • был создан файл perfc.bat;
  • была запущена консоль cmd.exe с командой /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:\Windows\system32\shutdown.exe /r /f» /ST 14:35”;
  • был создан и запущен файл ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f);
  • был создан файл dllhost.dat.

Как отмечает ведомство, в дальнейшем вирус распространялся через уязвимость в протоколе Samba (она же использовалась во время атак WannaCry). 

В ведомстве советуют не применять обновление, которое предлагает M.E.doc при запуске. В Киберполиции также отмечают, что это не является обвинениями в сторону разработчика M.E.doc, а только констатацией фактов. Заражение через M.E.doc. — это один из векторов атаки, она проходила и с помощью фишинга. 

Отметим, что в случае с вирусом XData специалисты по безопасности также говорили о том, что возможным путем его распространения могло стать обновление M.E.doc.

Заметили ошибку? Выделите ее и нажмите Ctrl+Enter, чтобы сообщить нам.

Смотреть комментарии

Комментарии | 6

  • Grammarly - 🦄
  • Съемки на YouTube
  • ФОП для IT
  • Revolut
  • Бизнес в e-commerce
  • Продавать в интернете
Реклама на AIN.UA

Поиск

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: