Какие файлы заражает вирус wmcap – Что такое Wmcap.exe и как его исправить? Содержит вирусы или безопасно?

Содержание

Что такое макровирусы и какие файлы они заражают

Макровирусы – это потенциально нежелательные утилиты, написанные на микроязыках, которые встроены в графические и текстовые системы обработки. Какие файлы заражают макро вирусы? Ответ очевиден. Наиболее распространенные версии для программ Microsoft Excel, Word и Office 97. Данные вирусы встречаются достаточно часто, как создать их проще простого. Именно поэтому при скачивании документов из Интернета стоит быть крайне внимательными и аккуратными. Большинство пользователей недооценивают их, совершая тем самым грубейшую ошибку.

Как происходит заражение ПК

После того как мы определились, что такое макровирусы, давайте разберемся каким образом они проникают в систему и заражают компьютер. Простой способ их размножения позволяет в кратчайшие сроки поражать максимальное количество объектов. Благодаря возможностям макроязыков, они при закрытии или открытии зараженного документа проникают в программы, к которым идет обращение.

То есть, при использовании графического редактора макровирусы заражают все, что связано с ним. Более того, некоторые активничают все время, пока текстовый или графический редактор работают, или вовсе до полного выключения ПК.

В чем заключается принцип их работы

Их действие происходит по следующему принципу: работая с документами, Microsoft Word выполняет разнообразные команды, отдающиеся на языке макрос. Первым делом программа проникает в главный шаблон, через который открываются все файлы этого формата. При этом вирус копирует свой код в макросы, которые обеспечивают доступ к главным параметрам. Выходя из программы, файл в автоматическом режиме сохраняется в dot (применяется для создания новых документов). После чего он попадает в стандартные макросы, стремясь перехватить отправляемые другим файлам команды, заражая и их.

Заражение осуществляется в следующих случаях:

  1. При наличии авто макроса в вирусе (проводится в автоматическом режиме при выключении или запуске программы).
  2. Вирус обладает основным системным макросом (зачастую связан с пунктами меню).
  3. Активизируется автоматически в случае нажатия на конкретные клавиши или комбинации.
  4. Размножается лишь при его запуске.

Такие вирусы поражают обычно все файлы, созданные и привязанные к программам на макроязыке.

Не удалось устранить проблему?Обратитесь за помощью к специалисту!

Решите мою проблему

Какой вред они приносят

Не стоит недооценивать макровирусы, так как они относятся к полноценным вирусам и несут компьютерам значительный вред. Они могут легко удалить, скопировать или редактировать любые объекты, содержащие, в том числе, и личную информацию. Более того, им также доступна передача информации другим людям с помощью электронной почты.

Более сильные утилиты вообще могут форматировать винчестеры и контролировать работу всего ПК. Именно поэтому мнение, что подобного рода компьютерные вирусы несут в себе опасность исключительно для графических и текстовых редакторов, ошибочное. Ведь такие утилиты как Word и Excel работают во взаимодействии с целым рядом других, которые в этом случае также подвергаются опасности.

Распознаем зараженный файл

Зачастую файлы, зараженные макровирусами и поддавшиеся их влиянию, определить совсем не сложно. Ведь они функционируют совсем не так, как другие утилиты такого же формата.

Опасность можно определить по следующим признакам:

  1. Документ Word не хочет сохраняться в другом формате через команду “Сохранить как…».
  2. Документ не перемещается на другой диск или папку.
  3. Изменения в документе не сохраняются через команду «Сохранить».
  4. Недоступна вкладка «Уровень безопасности» (Верхнее меню – Сервис — Макрос — Безопасность).
  5. Чрезмерно частое появление сообщений системы об ошибке работы программ с соответствующим кодом.
  6. Неправильное и не характерное документам поведение.

Кроме того, угроза зачастую легко обнаруживается визуально. Их разработчики обычно указывают во вкладке «Сводка» такую информацию, как название утилиты, категория, тема комментарии и имя автора, благодаря чему от макровируса можно избавиться значительно быстрее и проще. Вызвать ее можно при помощи контекстного меню.

Способы удаления

Обнаружив подозрительный файл или документ, первым делом просканируйте его антивирусом. При обнаружении угрозы антивирусы попробуют вылечить его, а в случае неудачи полностью закроют доступ к нему.

Не удалось устранить проблему?Обратитесь за помощью к специалисту!

Решите мою проблему

В случае если был заражен весь компьютер, следует воспользоваться аварийным загрузочным диском, который содержит антивирус с последней базой данных. Он проведет сканирование винчестера и обезвредит все найденные им угрозы.

Если защититься таким образом не получается, ваш антивирус ничего не может сделать, а аварийного диска нет, то следует попробовать метод «ручного» лечения:

  1. Открываем «Мой компьютер», в верхнем меню заходим в «Упорядочить — Параметры папок».
  2. Перемещаемся во вкладку «Вид». Убираем галочку напротив пункта «Скрывать расширение для всех зарегистрированных типов файлов».
  3. Находим зараженный файл. Изменяем его расширение с «.doc» на «.rtf». Благодаря формату rtf можно сохранить всю необходимую информацию, при этом надстройка файла «VBA» будет очищена от вредоносного кода.
  4. Далее вы увидите сообщение системы о смене имени. Нажимаем «ДА».
  5. После этого удаляем шаблон «Normal .dot». Найти его можно на локальном диске с установленной ОС Windows, обычно это диск «C». Далее переходим в «Users/имя_пользователя/AppData/Roaming/Microsoft/Templates».
  6. Изменяем расширение документа обратно. Восстанавливаем первоначальные параметры.

Таким образом, вы удалите макровирус с зараженного документа, однако это ни в коем случае не значит, что он не остался в системе. Именно поэтому рекомендуется при первой возможности просканировать весь персональный компьютер и все его данные антивирусом или специальными бесплатными сканерами (их преимущество в том, что они не требуют установки).

Рекомендации по защите ПК

Процесс лечения и очистки компьютера от заражения макровирусами достаточно сложный, поэтому лучше предотвратить заражение еще на начальных этапах.

  • Для этого необходимо иметь хороший антивирус и следить за его регулярными обновлениями.
  • Если у вас старый компьютер или ноутбук и вы не хотите еще больше нагружать и без того медленную систему, можно выбрать соответствующий защитник. Он будет быстро и эффективно работать даже на слабых машинах.
  • Перед копированием с носителей или скачиванием программ из интернета тщательно проверяйте их, чтобы они не были заражены вредоносным ПО.
  • Если у вас установлен плохой антивирус или его вообще нет, то следует сохранять файлы в формате «.rtf».
  • Сохраняйте самую важную информацию сразу в нескольких местах на (ПК, флешке, любом файлообменнике).

Таким образом, вы обезопасите себя, и макровирусы никогда не проникнут в соответствующие файлы.

Не удалось устранить проблему?Обратитесь за помощью к специалисту!

Решите мою проблему

Видео по очистке системы от вирусов

youtube.com/watch?v=0z3z7UwFgP0&t=263s

Профессиональная помощь

Если не получилось самостоятельно устранить возникшие неполадки,
то скорее всего, проблема кроется на более техническом уровне.

Это может быть: поломка материнской платы, блока питания,
жесткого диска, видеокарты, оперативной памяти и т.д.

Важно вовремя диагностировать и устранить поломку,
чтобы предотвратить выход из строя других комплектующих.

В этом вам поможет наш специалист.

Оцените статью:

Если статья была вам полезна,
поделитесь ею в качестве благодарности

onoutbukax.ru

Какие файлы заражают макровирусы

Содержание статьи:

Макровирусы представляют собой потенциально нежелательные программы, которые написанные на макроязыках, встроенных в текстовые или графические системы обработки данных. Самые распространенные версии вирусов для Microsoft Word, Excel и Office 97. Так как создать макровирус проще простого, то встречаются они довольно часто. Следует быть очень осторожным при скачивании сомнительных документов из интернета. Многие пользователи недооценивают возможности данных программ, совершая при этом огромнейшую ошибку.

Каким образом макровирус заражает компьютер

Благодаря простому способу размножения макровирусы способны в кратчайшие сроки поразить большое количество файлов. Используя возможности макроязыков, они, при открытии или закрытии  зараженного документа, с легкостью проникают во все программы, к которым, так или иначе, идет обращение. То есть, если вы, используя графический редактор,  открываете изображение, то макровирус будет распространяться по файлам данного типа.  А  некоторые из вирусов этого вида могут быть активными до тех пор, пока открыт графический или текстовый редактор, или вовсе до самого выключения персонального компьютера.

Действие макровирусов происходит по такому принципу: при работе с документом Microsoft Word считывает и выполняет различные команды, которые отдаются на языке макрос. Первым делом вредоносная программа постарается проникнуть в главный шаблон документа, благодаря которому происходит открытие всех файлов данного формата. При этом макровирус создает копию своего кода в глобальные макросы (макросы, обеспечивающие доступ к ключевым параметрам)   А при выходе из используемой программы автоматически сохраняется в dot – файл (используется для создания новых документов). После вирус вторгается в стандартные макросы файла с целью перехватить команды, посылаемые другим файлам, таким образом, заражая и их тоже.

Заражение макровирусом происходит в одном из четырех случаев:

  1. При наличии в вирусе авто макроса (выполняется автоматически при запуске или выключении программы).
  2. В вирусе присутствует основной системный макрос (обычно связанный с пунктами в меню).
  3. Активация вируса производится автоматически при нажатии на определенную клавишу или комбинацию.
  4. Размножение вируса происходит только при его прямом запуске.

Повредить макровирусы могут все файлы, которые привязаны к программе на макроязыке.

Какой вред несут в себе макровирусы

Ни в коем случае не стоит недооценивать макровирусы, так как они являются такими же полноценными вирусами и могут нанести персональному компьютеру не меньший вред. Макровирусы вполне в состоянии удалить, редактировать или скопировать файлы, содержащие личную информацию и передать ее другому человеку по электронной почте. А более сильные программы могут вообще отформатировать винчестер и взять под контроль ваш компьютер. Так что мнение о том, что макровирусы опасны только для текстовых редакторов, ошибочное, ведь зачастую Word и Excel при работе контактируют с огромным количеством разнообразных программ.

Как распознать зараженный файл

Обычно файлы, поддавшиеся влиянию макровируса, определить довольно просто, ведь они работают не так, как другие программы того же формата.

Наличие макровирусов можно определить по таким признакам:

  1. документ Word не сохраняется в другой формат (используя команду «сохранить как…»)
  2. документ невозможно переместить в другую папку или на другой диск
  3. отсутствие возможности сохранения изменений в документе (используя команду «сохранить»)
  4. частое появление системных сообщений об ошибке работы программы с соответствующим кодом
  5. нехарактерное поведение документов
  6. большинство макровирусов можно обнаружить визуально, так как их создатели зачастую любят указывать во вкладке Сводка (открывается с помощью контекстного меню) такие данные, как название программы, тема, категория, имя автора и комментарии.

Как удалить зараженный вирусом файл с компьютера

Первым делом при обнаружении подозрительного документа или файла отсканируйте его с помощью антивируса. Практически всегда антивирусы при обнаружении угрозы постараются вылечить файл или же полностью перекроют к нему доступ. В более тяжелых случаях, когда заражен уже весь компьютер воспользуйтесь аварийным установочным диском, содержащим антивирус с обновленной базой данных. Он отсканирует винчестер и обезвредит вредоносные программы, которые найдет. В том случаи, если антивирус бессилен, а аварийного диска под рукой нет, воспользуйтесь методом «ручного» лечения:

  1. во вкладке «Вид» снимаем галочку с «Скрывать расширение для всех зарегистрированных типов файлов».
  2. найдите зараженный файл и измените расширение с.doc на .rtf
  3. удалите шаблон Normal. dot
  4. меняем расширение файла обратно и восстанавливаем исходные параметры

В результате этих действий мы удалили вирус с зараженного документа, но это не значит, что он не мог остаться в системе компьютера, поэтому при первой, же возможности просканируйте антивирусом все объекты вашего ПК.

Как уберечься от макровирусов

Лечение компьютера от макровирусов может оказаться довольно сложным, поэтому лучше не допускать заражения. Для этого следите за тем, что бы ваш антивирус регулярно обновлялся. Перед копированием файлов с других  информационных носителей или из интернета тщательно проверьте их на наличие вредоносных программ.  Если у вас слабый антивирус или его вовсе нет, сохраняйте документы в формате .rtf, таким образом, вирус не сможет в них проникнуть.


kakpravilino.com

Вирус WannaCry заразил десятки тысяч Windows-компьютеров. Как распространяется вирус и как защититься?

Вирус WannaCry заразил десятки тысяч Windows-компьютеров. Как распространяется вирус и как защититься?

Произошла самая масштабная кибератака в истории. Вирус Wanna Cry («Хочу плакать») заразил десятки тысяч компьютеров под управлением Windows из 70 стран мира. Зараженные машины оказались заблокированы окном с надписью «Внимание. Важные файлы зашифрованы. Чтобы вернуть доступ, переведите 300 долларов». Больше всего вреда вирус причинил больницам, банкам, телекоммуникационным компаниям и правительственным учреждениям. Подробнее о WannaCry и о том, как обычным пользователям защититься от него рассказали в этом материале.

Как работает вирус WannaCry

Вирус WannaCry распространяется через 445 порт, который использует служба доступа к файлам. По умолчанию она включена на всех компьютерах под управлением Windows. WannaCry эксплуатирует уязвимость в устаревшем протоколе SMBv1, который на стандартных настройках так же включен. На компьютер WannaCry попадает с зараженных сайтов или вместе с вирусами, которые пробрасывают 445 порт на этот компьютер.

Вирус WannaCry заразил десятки тысяч Windows-компьютеров. Как распространяется вирус и как защититься?

Масштаб хакерской атаки, которую в СМИ назвали киберапокалипсисом, объясняется тем, что хакеры из группировки The Shadow Brokers получили доступ к разработкам Агентства национальной безопасности США. Как сообщило издание Politiko, злоумышленники использовали шпионские программы АНБ.

Какой вред нанёс вирус

О попытках осуществления атаки сообщили сотни компаний по всему миру. В России о нападении заявили в “Мегафоне”, “Сбербанке” и многих других телекоммуникационных компаниях. Пострадали и ресурсы МВД, правда, атаки были отбиты без особых проблем и утечки данных удалось избежать.

Вирус WannaCry заразил десятки тысяч Windows-компьютеров. Как распространяется вирус и как защититься?В Британии из-за атаки была парализована работа больниц, в Германии хакеры вывели из строя системы управления в одном из семи региональных диспетчерских центров, что вызвало сбои в движении поездов. В Испании пострадала крупная телекоммуникационная компания.

Вирус WannaCry заразил десятки тысяч Windows-компьютеров. Как распространяется вирус и как защититься?

Карта зафиксированных атак

Вины Microsoft нет

Корпорация Microsoft ещё в марте 2017 года представила исправление для проблемы ETERNALBLUE в бюллетене MS17-010. Но как часто бывает, многие компании и пользователи проигнорировали вышедшее обновление.

Как проверить наличие угрозы

Шаг 1. Перейдите на сайт http://canyouseeme.org/.

Шаг 2. В графе Port to Check введите значение 445 и нажмите Check Port.

Вирус WannaCry заразил десятки тысяч Windows-компьютеров. Как распространяется вирус и как защититься?Шаг 3. Если сервис ответит на запрос сообщением:”Error: I could not see your service on 93.81.179.239 on port (445) Reason: Connection timed out” — порт 445 на вашем компьютере закрыт. Вы в безопасности.

Если же порт 445 является открытым, угроза заражения вашего компьютера вирусом WannaCry существует. В таком случае воспользуйтесь представленной ниже инструкцией.

Как закрыть порт 445 и защитить себя от вируса

Шаг 1. Запустите «Панель управления».

Шаг 2. Перейдите в раздел «Программы».

Вирус WannaCry заразил десятки тысяч Windows-компьютеров. Как распространяется вирус и как защититься?Шаг 3. Выберите пункт «Включение или отключение компонентов Windows».

Вирус WannaCry заразил десятки тысяч Windows-компьютеров. Как распространяется вирус и как защититься?Шаг 4. Снимите флажок с пункта «Поддержка общего доступа к файлам SMB 1.0/CIFS», нажмите «ОК» и перезагрузите компьютер.

Вирус WannaCry заразил десятки тысяч Windows-компьютеров. Как распространяется вирус и как защититься?После отключения этого стандартного компонента, угрозы заражением вирусом WannaCry не будет.

Всем пользователям компьютеров под управлением Windows настоятельно рекомендуется установить официальное обновление, устраняющее уязвимость:

Другие полезные статьи:

Поставьте 5 звезд внизу статьи, если нравится эта тема. Подписывайтесь на нас ВКонтакте, Instagram, Facebook, Twitter, Viber.


Вирус WannaCry заразил десятки тысяч Windows-компьютеров. Как распространяется вирус и как защититься? Загрузка...

bloha.ru

Удалить Wncry Вирус Ransomware - Удаление вирусов

Эта страница создана с целью помочь Вам удалить Wncry Вирус Ransomware. Данные инструкции для удаления Wncry Вирус Ransomware работают для всех версий Windows, а том числе Windows 10.

Программы-вымогатели – одни из страшнейших видов вирусных программ на сегодняшний день. Кроме того, с каждым днём их число всё только возрастает, при этом с каждым годом оно увеличивается в геометрической прогрессии. Эксперты находят миллионы отдельных вариантов и, к сожалению, на данный момент мы пока все ещё отстаём на один шаг от хакеров и кибер-преступников, которые зарабатывают на этой криминальной деятельности. Для примера, Wncry Вирус Ransomware – один из новейших и не менее опасных вирусов этого типа уже успел заразить довольно внушительное число пользователей. К нам обратились с просьбами о помощи, как только он появился, и именно поэтому мы создали данную статью. В ней указана информация о том, как именно работают эти вредоносные программы, а также каким образом, Вы сможете от них эффективнее всего защититься. Кроме того, в конце данной статьи Вы также найдёте указания по удалению Wncry Вирус Ransomware, которые помогут Вам быстро найти и удалить все файлы, связанные с ним. Но, что также немаловажно, в тех же указаниях Вы отдельно сможете найти шаги к восстановлению Ваших файлов, которые вирус успел закодировать и за которые теперь просит выкуп. Оставайтесь с нами.

Как именно действует и распространяется Wncry Вирус Ransomware?

Программы этого вида, как правило, рассчитывают на свою полную незаметность. Проникнув в Ваш ПК, они не подадут совершенно никаких признаков своего присутствия. Кроме того, эти вирусы также используют метод криптирования данных, для того чтобы заблокировать Ваш доступ к определённым типам файлов, хранящихся в Вашей системе. Это могут быть видео и аудио файлы, документы, изображения и в некоторых случаях даже системные файлы. Но суть в том, что процесс криптирования или кодирования сам по себе является методом защиты данных. Иными словами, сам по себе он не является чем-то вредоносным. И именно по этой причине антивирусные программы, даже если они у Вас имеются, чаще всего даже не засекут Wncry Вирус Ransomware и не помешают ему дальше криптировать файлы. Это и есть один из залогов невероятного успеха данного вида вредоносного ПО.

Также, что важно упомянуть: программы-вымогатели не просто криптируют файлы, они создают криптировнные копии оригинальных файлов, затем удаляют оригиналы. Этот принцип работы важен, потому что создаёт лазейку, благодаря которой есть шанс восстановить оригиналы файлов. Указания к этому, как уже было упомянуто, Вы найдёте ниже. Что же касается выкупа, который у Вас требует Wncry Вирус Ransomware. Платить или не платить, конечно, решать только Вам. Но как эксперты безопасности мы обязаны предупредить Вас о возможных последствиях оплаты выкупа. Вы можете перевести хакерам сумму, которую они требуют, но взамен Вы можете ничего не получить. А Вам необходим код для декпритирования файлов. В иных случаях, когда пользователи получают код, он оказывается порочным и не работает. А переведя им деньги, Вы также обрекаете себя на невозможность рассчитывать на властей вернуть Вам сумму и наказать злодеев. Чаще всего это обусловлено валютой, в которой они хотят получить выкуп: биткоины. Её практически невозможно отследить. Лучше всего в таких случаях просто попытаться сделать всё возможное, чтобы восстановить Ваши файлы, после того как Вы удалили вирус, и уж только в случае полного неуспеха уже рассмотреть перевод выкупа.

Теперь же о методе распространения программ-вымогателей и Wncry Вирус Ransomware в частности. К сожалению, попасть на них можно практически везде. Но наиболее часто заражения происходят с помощью старых добрых спам писем, которые всем приходят на электронную почту. Как правило, они хранят в себе прикреплённый файл, в котором либо прячется сама программа-вымогатель, либо троянец, который затем помогает ей войти в Вашу систему. В этой связи мы всегда напоминаем нашим читателям быть бдительными и не открывать первое попавшееся сообщение и слепо верить тому, что в нём может быть написано. Будьте более внимательными и если у Вас есть повод подозревать, что что-то неладное может таиться в том или ином письме, просто удалите его. Другой довольно распространённый метод заражения – вредоносные рекламы. С ними уже можно столкнуться практически на любой странице и в любой форме. На вид они ничем не отличаются от обычных онлайн реклам, вроде баннеров и всплывающих окон. Однако при нажатии на такую с виду безобидную рекламу Вы автоматически скачиваете вирус, хранящийся в ней. Вот ещё один повод внимательнее относиться к контенту, с которым Вы вступаете во взаимодействие.

Но помимо предотвращения заражения, от которого, кстати говоря, тоже нет никаких страховок, не лишне было бы себе такую сделать. И сделать это можно проще простого: создавайте копии Ваших самых необходимых и ценных файлов и храните их на отдельном жёстком диске, который не будет постоянно подсоединён к интернету или компьютеру. Таким образом, даже в случае заражения, вирус не сможет нанести реального ущерба.

Удалить Wncry Вирус Ransomware

Перезагрузите компьютер в безопасном режиме (используйте эти указание, если не знаете, как это сделать).

ВНИМАНИЕ!
Для того, чтобы удалить parasite, возможно, Вам придётся иметь дело с системными файлами и реестрами. При допущении ошибки и удалении неправильных файлов, можно нанести ущерб Вашей системе.
Это можно избежать при помощи SpyHunter - профессиональный инструмент для удаления Parasite

Введите msconfig в поле для поиска и нажмите enter. Появится окошко:

Startup —> Снимите отметку с записей, у которых под Производителем стоит «Неизвестен».

  • Имейте в виду, что ransomware может использовать фальшивое имя Производителя. Убедитесь в том, что каждый процесс здесь настоящий.

Нажмите одновременно CTRL + SHIFT + ESC. Перейдите на вкладку Процессы. Попытайтесь определить, которые из них опасны. Загуглите их или спросите нас в комментариях.

ОСТОРОЖНО! ПРОЧТИТЕ ВНИМАТЕЛЬНО ПЕРЕД ТЕМ, КАК ПРОДОЛЖИТЬ!

Это самая Важная и сложная часть. Если Вы удалите не тот файл, это может нанести безвозвратный ущерб Вашей системе. Если Вы не можете это сделать,
>> Скачайте SpyHunter – профессиональный инструмент для обнаружения и удаления parasite.

Нажмите правой кнопкой мыши на каждый из проблемных процессов по отдельности и выбреите Открыть место хранения файла. Завершите процесс после того, как откроете папку, затем удалите директории, к которым Вас направили.

Введите Regedit в поле поиска windows и нажмите EnterВнутри нажмите одновременно кнопкиCTRL и F и введите название вируса.

Ищите ransomware  в реестрах и удалите записи. Будьте очень осторожны, та как Вы можете повредить Вашу систему, если удалите записи, не связанные с ransomware.

Ввведите каждое и следующего в поисковике Windows:

  1. %AppData%
  2. %LocalAppData%
  3. %ProgramData%
  4. %WinDir%
  5. %Temp%

Удалите всё в Temp. В остальном просто проверьте на наличие чего-нибудь, что было добавлено недавно.Не забывайте оставить комментарий, если столкнётесь с затруднениями!

Как дешифровать файлы, заражённые Wncry Вирус Ransomware

Есть только один способ убрать кодировку вируса, которая МОЖЕТ сработать (нет гарантии): вернуть файлы в предыдущее состояние.

Пройдите на официальный сайт Recuva и скачайте бесплатную версию. Скорее всего Вам нужны будут все файлы. Далее выберите место сохранения. Наверняка Вы захотите, чтобы Recuva просканировал все места.

Нажмите на окошко, чтобы активировать Deep Scan (глубокое сканирование). Программа начнёт работать и, возможно, отнимет довольно долгое время до окончания работы, поэтому наберитесь терпения и сделайте перерыв, если необходимо.

Вы получите большой список с файлами. Выберите все уместные файлы, которые Вам нужны, и нажмите Recover (Восстановить).

Поделиться ссылкой:

Похожее

virus-search.ru

Новый вирус Nodersok заразил тысячи компьютеров на базе Windows

Тысячи компьютеров на базе Windows по всему миру за последние несколько недель были заражены новым видом вредоносного ПО. Вредонос под названием Nodersok загружает и устанавливает копию инфраструктуры Node.js для преобразования зараженных систем в прокси-серверы и проведения мошеннических операций.

Вредоносная программа, названная Nodersok (в отчете Microsoft) и Divergent (в отчете Cisco Talos), впервые была обнаружена летом нынешнего года и распространялась с помощью вредоносной рекламы, которая принудительно загружала файлы HTA (HTML Application) на компьютеры пользователей. Запуск HTA-файлов начинал многоэтапный процесс заражения с использованием скриптов Excel, JavaScript и PowerShell, которые в конечном итоге загружали и устанавливали вредоносное ПО Nodersok.

Сама вредоносная программа имеет несколько компонентов, включая PowerShell-модуль, который пытается отключить Защитника Windows и Центр обновления Windows, а также компонент для повышения привилегий вредоносного ПО до уровня SYSTEM. Но есть также два компонента, которые являются легитимными приложениями, а именно: WinDivert и Node.js. Первое представляет собой приложение для захвата и взаимодействия с сетевыми пакетами, а второе — известный инструмент для запуска JavaScript на web-серверах.

Легитимные приложения используются для запуска прокси-сервера SOCKS на зараженных хостах. Исследователи из компании Microsoft утверждают, что вредоносная программа превращает зараженные хосты в прокси-серверы для передачи вредоносного трафика. По словам специалистов из Cisco Talos, с другой стороны, прокси используются для мошеннических операций.

Так или иначе, создатели Nodersok могут в любой момент развернуть другие модули для выполнения дополнительных задач или даже запустить вымогательское ПО или банковские трояны.

www.playground.ru

Отправить ответ

avatar
  Подписаться  
Уведомление о