Comments 20
Только вчера писал, что походу это начало новой вехи вирусов, когда они идут вместо с легального обновления. Дальше похоже будет хуже.
И да, кто туда добавил вирусы создатели программы или нет?
скажу что компания Спарго является дочерней компанией самого крупного фармацевтического дистрибьютора, компании Протек.
2 раза находили у себя такой вирус, оба раза Dande2.
Действительно, вирус был только на тех машинах где стояла эприка.
Причем часть машин сломалась — перестала запускаться Windows, а остальные работали и не было проблем.
Похоже что троян работает выборочно. Все антивирусы кроме Dr.Web этот бэкдор не видят толком.
стоял лицензионный Касперский и только ругался на процесс в оперативной памяти.
никакие проверки Касперским результата не давали.
Проверили лечилкой Dr.Web Cureit, результат:
\Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume4\WINDOWS\system32\drivers\RpcSsPrt.sys — infected with BackDoor.Dande.2
\Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume4\WINDOWS\system32\drivers\RpcSsPrt.sys — infected
Process \Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume4\WINDOWS\explorer.exe:1008 — infected with BackDoor.Dande.2
Process \Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume4\WINDOWS\explorer.exe:1008 — neutralized
C:\WINDOWS\system32\drivers\RpcSsPrt.cfg — infected with BackDoor.Dande.2
C:\WINDOWS\system32\drivers\RpcSsPrt.cfg — infected
C:\WINDOWS\system32\drivers\RpcSsPrt.sys — infected with BackDoor.Dande.2
C:\WINDOWS\system32\drivers\RpcSsPrt.sys — infected
Если вы аптечное предприятие и есть эприка — высокая вероятность что с помощью Dr.Web Cureit найдете этот вирус.
Причем после чистки через какое-то время он может появиться снова. Выводы делайте сами.
Кибератака на аптеки, промышленный шпионаж, инсайд и расследование длиной в 4 года. Казалось бы, при чём тут «Петя»?