Вирусная атака на украинские компании возникла из-за программы M.E.doc (программное обеспечение для отчетности и документооборота). Об этом Киберполиция сообщает в Facebook.
“Это программное обеспечение имеет встроенную функцию обновления, которая периодически обращается к серверу: “upd.me-doc.com.ua” (92.60.184.55) с помощью User Agent “medoc1001189”.
27 июня, в 10:30, программу M.E.doc обновили. Обновление составляло примерно 333 кб, и после его загрузки происходили следующие действия:
- создание файла: rundll32.exe;
- обращение к локальным IP-адресов на порт 139 TCP и порт 445 TCP;
- создание файла: perfc.bat;
- запуск cmd.exe с последующей командой:/cschtasks/RU”SYSTEM”/Create/SConce/TN”/TR”C:\Windows\system32\shutdown.exe/r/f”/ST14:35”;
- создание файла: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и его последующий запуск;
- создание файла: dllhost.dat.
В дальнейшем вредоносное программное обеспечение распространялось с помощью уязвимости в протоколе Samba (также использовалась во время атак WannaCry)”, — уточняет Киберполиция.
Рекомендуется временно не применять обновления M.E.doc, которые предлагаются при запуске.
Напомним, 27 июня компьютерные системы украинских банков и компаний были атакованы массовым интернет-вирусом.
По предварительной информации, украинские банки, учреждения, медиа, правительственные институты атаковал вирус под названием “Petya.A”, что является разновидностью вируса WannaCry, который недавно прошелся миром.
Отмечается, что письма, содержащие вирус, приходили по электронной почте в течение нескольких недель.
Крупнейшая в истории хакерская атака на Украину распространяется по всему миру, в частности, компьютерные сети выходят из строя в Испании и Индии.