Вирус поражает ПК через лазейку в Windows XP

Александр Панасенко 22 Июля 2014 - 11:57

Вредоносные программы

...

Вирус поражает ПК через лазейку в Windows XP

Эксперты Trend Micro назвали червь Downad одной из самых опасных программ, с которыми специалисты столкнулись во втором квартале 2014 г. Вредоносное ПО под названием Downad (его также называют Conficker) может инфицировать сеть целиком, получив доступ через URL-адрес, электронное сообщение или съемный накопитель. XP считается особенно подверженной этой угрозе, поскольку вирус использует уязвимость в Windows Server Service (MS08-067) для запуска произвольного кода.

У Downad также есть собственный алгоритм генерации доменного имени (DGA), позволяющий червю создавать произвольные URL, и впоследствии подключаться к ним для скачивания файлов в систему. Согласно Trend Micro, найдено около 175 IP адресов, связанных с Downad, сгенерированных случайным образом с помощью алгоритма DGA и использующих разнообразные порты. «Проанализировав сложившуюся ситуацию, мы обнаружили, что во втором квартале 2014 г. более 40% электронных сообщений, каким-либо образом связанных с вредоносным ПО, было отправлено инфицированными Downad ПК», — говорит специалист по анти-спам исследованиям в Trend Micro Мария Мэнли (Maria Manly). «Сегодня некоторое количество компьютеров по-прежнему заражено и используется для рассылки спам-сообщений, передающих «червя» дальше по цепочке. И поскольку Microsoft прекратила поддержку XP в этом году, мы ожидаем, что количество зараженных систем будет расти», — рассуждает Мэнли.

Кампании по рассылки спама, рассылающие вредоносное ПО семейств Fareit, Mytob, и Lovgate во вложениях, отправляются зараженными Downad компьютерами. Fareit — семейство вредоносного ПО, похищающее информацию, в то время как Mytob относится к старому семейству червей, рассылающих собственные копии по почте. «За последние несколько недель мы сообщили о нескольких волнах спама, использующих ссылки Dropbox для хранения вредоносного ПО, такого, как UPATRE, — комментирует Мария Мэнли. — Мы также нашли спам-сообщение, замаскированное под голосовое, содержащее вариант трояна Cryptolocker. Самым последним, что мы наблюдали, была спам-компания, использующая Cubby, сервис для хранения файлов. На этот раз рассылка содержала ПО для взлома банковских систем, определяемое как TSPY_BANKER.WSTA”, передает cnews.ru.

Согласно результатам исследования Trend Micro, хакеры могут использовать платформы для хранения данных для маскировки своей деятельности: именно так ПО проникает в систему и сеть. «Спам с вредоносными вложениями продолжает множиться, как и спам, включающий ссылки на вредоносные сайты, — утверждают эксперты Trend Micro. — Похоже, эксплуатация сервисов хранения файлов для распространения вирусов стала сейчас любимым способом злоумышленников пройти через спам-фильтры».

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 09 Июня 2026 - 14:25

Гарда NDR Корпорации ГК «Гарда»

Гарда NDR научилась искать скрытые атаки по поведению хостов

Компания «Гарда» обновила систему анализа сетевого трафика и выявления угроз «Гарда NDR». В новой версии появились механизмы автоматической оценки риска для хостов и кластеризации устройств на основе машинного обучения.

Главная идея обновления заключается в том, чтобы помочь специалистам по информационной безопасности быстрее находить действительно подозрительные события среди большого количества сетевой активности.

Для этого система анализирует поведение устройств в сети и группирует их по схожим признакам. Если один из хостов начинает заметно отличаться от других устройств своего кластера, это может указывать на аномалию или потенциальный инцидент.

Такой подход позволяет выявлять нестандартные сценарии атак, которые не всегда обнаруживаются классическими сигнатурными средствами защиты.

Параллельно в продукте появился риск-скоринг хостов. Вместо длинного списка разрозненных уведомлений аналитик получает ранжированный перечень узлов с оценкой потенциального уровня риска.

Для формирования этой оценки используются сразу несколько источников данных: сетевой трафик, телеметрия NetFlow, сигнатурный анализ, индикаторы компрометации и данные от механизмов Deception.

В компании отмечают, что подобное сочетание кластеризации и автоматической оценки риска реализовано в российских NDR-решениях впервые.

Обновление затронуло и другие компоненты системы. В продукт добавили поддержку цифровых отпечатков JA4 для анализа зашифрованного трафика, а также новую ML-модель для выявления автоматически сгенерированных доменов (DGA), которые часто используются для связи зловредов с управляющими серверами.

Кроме того, разработчики упростили развёртывание решения. В системе появились графический мастер установки и механизм автоматической загрузки политик из архивов. Также были расширены возможности интеграции с SIEM-платформами и доработан пользовательский интерфейс.

По данным компании, изменения затронули и процессы расследования инцидентов. Ряд операций теперь требует меньше действий со стороны аналитиков, что должно сократить время на обработку событий безопасности и снизить вероятность пропуска важных сигналов на фоне большого количества уведомлений.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!