LINUX.ORG.RU

История изменений

Исправление atsym, (текущая версия) :

https://m.facebook.com/cyberploiceua/posts/297206400403530

На данный момент достоверно известно, что вирусная атака на украинские компании возникла из-за программного обезпечения M.E.doc. (программное обеспечение для отчётности и документооборота) Это программное обеспечение имеет встроенную функцию обновления программного обеспечения, которая перидически обращается к серверу: "upd.me-doc.com.ua" (92.60.184.55) с помощью User Agent "medoc1001189".

Обновление имеет хэш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54

Большинство легитимных «пингов» (обращений к серверу) равны приблизительно 300 байт.

Этим утром, в 10.30, программа M.E.doc. получила обновление. Обновление было размером около 333кб, и после его загрузки осуществлялись следующие действия:

  • создание файла: rundll32.exe;
  • обращение к локальним IP-адрессам на порт 139 TCP та порт 445 TCP;
  • создание файла: perfc.bat;
  • запуск cmd.exe со наступною командою: /c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR "C:\Windows\syste m32\shutdown.exe /r /f" /ST 14:35";
  • создание файла: ac3.tmp (хэш 02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и его последующий запуск;
  • создание файла: dllhost.dat;

Исправление atsym, :

https://m.facebook.com/cyberploiceua/posts/297206400403530

На данный момент достоверно известно, что вирусная атака на украинские компании возникла из-за программного обезпечения M.E.doc. (программное обеспечение для отчётности и документооборота) Это программное обеспечение имеет встроенную функцию обновления программного обеспечения, которая перидически обращается к серверу: "upd.me-doc.com.ua" (92.60.184.55) с помощью User Agent "medoc1001189".

Обновление имеет хэш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54

Большинство легитимных «пингов» (обращений к серверу) равны приблизительно 300 байт.

Этим утром, в 10.30, программа M.E.doc. была обновлено. Обновление было размером около 333кб, и после его загрузки осуществлялись следующие действия:

  • создание файла: rundll32.exe;
  • обращение к локальним IP-адрессам на порт 139 TCP та порт 445 TCP;
  • создание файла: perfc.bat;
  • запуск cmd.exe со наступною командою: /c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR "C:\Windows\syste m32\shutdown.exe /r /f" /ST 14:35";
  • создание файла: ac3.tmp (хэш 02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и его последующий запуск;
  • создание файла: dllhost.dat;

Исправление atsym, :

https://m.facebook.com/cyberploiceua/posts/297206400403530

На данный момент достоверно известно, что вирусная атака на украинские компании возникла из-за программного обезпечения M.E.doc. (программное обеспечение для отчётности и документооборота) Это программное обеспечение имеет встроенную функцию обновления программного обеспечения, которая перидически обращается к серверу: "upd.me-doc.com.ua" (92.60.184.55) с помощью User Agent "medoc1001189".

Обновление имеет хэш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54

Большинство легитимних «пингов» (обращений к серверу) равны приблизительно 300 байт.

Этим утром, в 10.30, программа M.E.doc. была обновлено. Обновление было размером около 333кб, и после его загрузки осуществлялись следующие действия:

  • создание файла: rundll32.exe;
  • обращение к локальним IP-адрессам на порт 139 TCP та порт 445 TCP;
  • создание файла: perfc.bat;
  • запуск cmd.exe со наступною командою: /c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR "C:\Windows\syste m32\shutdown.exe /r /f" /ST 14:35";
  • создание файла: ac3.tmp (хэш 02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и его последующий запуск;
  • создание файла: dllhost.dat;

Исходная версия atsym, :

Киберполиция опубликовала технические детали вируса

https://m.facebook.com/cyberploiceua/posts/297206400403530

На данный момент достоверно известно, что вирусная атака на украинськие компании возникла из-за программного обезпечения M.E.doc. (программное обеспечение для отчётности и документооборота) Это программное обеспечение имеет встроенную функцию обновления программного обеспечения, которая перидически обращается к серверу: "upd.me-doc.com.ua" (92.60.184.55) с помощью User Agent "medoc1001189".

Обновление имеет хэш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54

Большинство легитимних «пингов» (обращений к серверу) равны приблизительно 300 байт.

Этим утром, в 10.30, программа M.E.doc. была обновлено. Обновление было размером около 333кб, и после его загрузки осуществлялись следующие действия:

  • создание файла: rundll32.exe;
  • обращение к локальним IP-адрессам на порт 139 TCP та порт 445 TCP;
  • создание файла: perfc.bat;
  • запуск cmd.exe со наступною командою: /c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR "C:\Windows\syste m32\shutdown.exe /r /f" /ST 14:35";
  • создание файла: ac3.tmp (хэш 02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и его последующий запуск;
  • создание файла: dllhost.dat;