На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму “M.E.doc.” (програмне забезпечення для звітності та документообігу) – повідомляють в Кіберполіції.

Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до серверу: “upd.me-doc.com.ua” (92.60.184.55) за допомогою User Agent “medoc1001189”.

Оновлення має хеш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54.

Більшість легітимних «пінгів» (звернень до серверу) дорівнює приблизно 300 байт.

Вчора, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, і після завантаження відбувались наступні дії:
– створювався файл: rundll32.exe;

– відбувалось звернення до локальних IP-адрес на порт 139 TCP та порт 445 TCP;

– створювався файлу: perfc.bat;

– запускався cmd.exe з командою: /c schtasks /RU “SYSTEM” /Create /SC once /TN “” /TR “C:\Windows\system32\shutdown.exe /r /f” /ST 14:35”;

– створювався файлу: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) та його подальший запуск;

– створювався файл: dllhost.dat.

В подальшому, шкідливе програмне забезпечення розповсюджувалось за допомогою вразливості у протоколі SMB (яка також використовувалась під час атак WannaCry).

В Кіберполіції рекомендують не застосовувати оновлення, які пропонує програмне забезпечення «M.E.doc.» при запуску.