Перейти к содержанию
_Stout

Опять Warezov. Статистика за 7 дней и факты

Recommended Posts

_Stout

Итак, статистика за 7 дней недели. Данные предоставлены Kaspersky Hosted Security (www.HostedSecurity.ru)

Самые "популярные" вредоносы почтового трафика за последние 7 дней:

Email-Worm.Win32.Warezov.dn 36.8%

Email-Worm.Win32.Warezov.ev 18.6%

Email-Worm.Win32.Warezov.do 7.90%

Email-Worm.Win32.NetSky.q 5.62%

Email-Worm.Win32.Warezov.eu 5.40%

Email-Worm.Win32.Warezov.dc 3.25%

Email-Worm.Win32.NetSky.aa 3.16%

Email-Worm.Win32.Warezov.ep 2.63%

Email-Worm.Win32.NetSky.b 2.48%

Other 14.0%

Сегодня:

Email-Worm.Win32.Warezov.ev 61.4%

Email-Worm.Win32.Warezov.eu 14.4%

Email-Worm.Win32.Warezov.dc 7.21%

Email-Worm.Win32.NetSky.q 3.74%

Email-Worm.Win32.Warezov.ew 3.58%

Email-Worm.Win32.Warezov.do 2.98%

Email-Worm.Win32.Warezov.dn 2.23%

Email-Worm.Win32.NetSky.aa 1.95%

Email-Worm.Win32.Warezov.et 0.47%

Other 1.95%

NetSky вытеснет с топов!

%% вредоносов в почтовом потоке

21 - 3,41%

22 - 5,07%

23 - 7,17%

24 - 0,46%

25 - 0,31%

26 - 0,88%

27 - 5,92%

Warezov кроме того, что плодится еще и ворует адреса электронной почты. Во время вирусного затишья, мы зафиксировали всплеск активности спамеров 24 и 25 октября, как раз после массовой рассылки. Кол-ва спама в потоке превысило 91% (обычно около 80-85%).

Сегодня была тоже большая рассылка и мы ожидаем всплеск спам рассылки в понедельник.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
еще и ворует адреса электронной почты

Это вроде новое?

Может кто-нибудь объяснить физический смысл этой рассылки

Limar/Warezov/Stration ?

Удовольствие?

Слава?

Проверка реакции антивирусов?

Отработка технологий?

Ждут ли специалисты продолжения в новом содержании?

По-моему, достаточно удивительный червяк для сегодня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Это вроде новое?
Да нет, не новое. Он создаёт для себя файл(ы) с расширением *.wax. Если его открыть даже просто блокнотом, то можно будет лецизреть все те мыла, который он собрал для себя. Причем файл(ы) этот(эти) могут достигать размера нескольких десятков метров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Так что, суть только в распространении?

А дальше что?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Это вроде новое?
Да нет, не новое. Он создаёт для себя файл(ы) с расширением *.wax. Если его открыть даже просто блокнотом, то можно будет лецизреть все те мыла, который он собрал для себя. Причем файл(ы) этот(эти) могут достигать размера нескольких десятков метров.

Ну и посылает эти данные на свои вэб сайты. Примерно со скоростью 100 адресов в секунду на каждый

Добавлено спустя 1 минуту 18 секунд:

Так что, суть только в распространении?

А дальше что?

А дальше? Дальше кража персональных данных, установка проски и распространение не только себя, но и Pinch. Да все что угодно -- червь имеет ф-цию дотаскивания модулей из интернета. Мало?

Добавлено спустя 1 минуту 15 секунд:

Может кто-нибудь объяснить физический смысл этой рассылки

Limar/Warezov/Stration ?

Удовольствие?

Слава?

Проверка реакции антивирусов?

Отработка технологий?

Ждут ли специалисты продолжения в новом содержании?

Одна из целей -- кража персональных данныс с целью перепродажи. Продолжение обязательно будет. С начала недели атака спамеров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Warezov кроме того, что плодится еще и ворует адреса электронной почты. Во время вирусного затишья, мы зафиксировали всплеск активности спамеров 24 и 25 октября, как раз после массовой рассылки. Кол-ва спама в потоке превысило 91% (обычно около 80-85%).

Да уж ... столько спама на наши ящики еще не валилось никогда ... процент спама был где-то около 95% :(

Так что, суть только в распространении?

А дальше что?

А рассылка спама? Это вполне приличные деньги. Адреса есть, зараженные машины есть, все карты у людей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин

Сегодня похоже пошла очередная волна эпидемии.

Я уже получил за полдня 12 писем, содержащих Worm.Stration.WX по классификации DrWeb.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Сегодня похоже пошла очередная волна эпидемии.

Я уже получил за полдня 12 писем, содержащих Worm.Stration.WX по классификации DrWeb.

DrWeb называет Limar. А Сегодня активно рассылается Warezov.hb (старый вариант, обнаружен в понедельник). Были часы, когда в трафике его было больше 10%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

_Stout, а по источникам распространения что-то поменялось по сравнению с началом "затяжной эпидемии"?

Для рассылки используются в большей части зомби-машины или все же какие-то несколько узлов в сети?

Помогает ли применение репутационых фильтров для предотвращения подобных вирусных атак?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
_Stout, а по источникам распространения что-то поменялось по сравнению с началом "затяжной эпидемии"?

Для рассылки используются в большей части зомби-машины или все же какие-то несколько узлов в сети?

Помогает ли применение репутационых фильтров для предотвращения подобных вирусных атак?

Зомби машины. Диких вирусов практически нет. Обычно дикие экземпляры бывают в первый и второй дни рассылки, потом уже нет. Вобще, я сильно удивлен, что сегодня была разослана старая версия червя. Есть одна версия почему так: за рассылу заплатили заранее, а к пятнице не получилось подогнать новую версию. Но рассыльщики, как честные бизнесмены, разослали старую версию червя. ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×