EN|RU|UK
 Події, Технології
  71782  230
Матеріали за темою:

 Кіберполіція назвала програму, через яку здійснювали хакерську атаку

шевченко артем агрессия российская

Хакерську атаку на Україну здійснювали через програму для документообігу M.E.doc.

Як інформує Цензор.НЕТ, про це йдеться у повідомленні кіберполіції.

У повідомленні зазначено: "
На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму "M.E.doc." (програмне забезпечення для звітності та документообігу).

Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до серверу: "upd.me-doc.com.ua" (92.60.184.55) за допомогою User Agent "medoc1001189".

Оновлення має хеш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54.

Більшість легітимниг "пінгів" (звернень до серверу) дорівнює приблизно 300 байт.

Цього ранку, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, та після його завантаження відбувались наступні дії:

- створено файл: rundll32.exe;

- звернення до локальних IP-адрес на порт 139 TCP та порт 445 TCP;

-створення файлу: perfc.bat;

- запуск cmd.exe з наступною командою: /c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR "C:\Windows\system32\shutdown.exe /r /f" /ST 14:35";

- створення файлу: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) та його подальший запуск;

- створення файлу: dllhost.dat.

В подальшому, шкідливе програмне забезпечення розповсюджувалось за допомогою вразливості у протоколі Samba (яка також використовувалась під час атак WannaCry).

Рекомендація:

- тимчасово не застосовувати оновлення, які пропонує програмне забезпечення "M.E.doc." при запуску".

Нагадаємо, 27 червня сервери багатьох державних установ і комерційних структур в Україні зазнали масштабної кібератаки.


Коментувати
Сортувати:
у вигляді дерева
за датою
за ім’ям користувача
за рейтингом
Сторінка 3 з 3
<<<1 2 3
Сторінка 3 з 3
<<<1 2 3
 
 
 
 
 
 вгору