Май 2nd, 2020 
raven000 
Вирусная атака на украинские компании возникла из-за программы M.E.doc (программное обеспечение для отчетности и документооборота).
Об этом Киберполиция сообщает на официальной странице в Facebook.
«Это программное обеспечение имеет встроенную функцию обновления, которая периодически обращается к серверу: «upd.me-doc.com.ua» (92.60.184.55) с помощью User Agent «medoc1001189». Обновление имеет хэш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54. Большинство легитимных «пингов» (обращений к серверу) равна примерно 300 байт. Этим утром, в 10:30, программу M.E.doc обновили. Обновление составляло примерно 333 кб, и после его загрузки происходили следующие действия: — создание файла: rundll32.exe; — обращение к локальным IP-адресов на порт 139 TCP и порт 445 TCP; — создание файла: perfc.bat; — запуск cmd.exe с последующей командой: / c schtasks / RU «SYSTEM» / Create / SC once / TN «» / TR «C: Windows system32 shutdown.exe / r / f» / ST 14:35 » ; — создание файла: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и его последующий запуск; — создание файла: dllhost.dat. В дальнейшем вредоносное программное обеспечение распространялось с помощью уязвимости в протоколе Samba (также использовалась во время атак WannaCry)», — уточняет Киберполиция.
Читайте также: ХАКЕРСКАЯ АТАКА В УКРАИНЕ: ЧТО НЕ РАБОТАЕТ — ХРОНИКА СОБЫТИЙ
Рекомендуется временно не применять обновления M.E.doc, которые предлагаются при запуске.
Источник: liga.net
Опубликовано в рубрике 
