«Лаборатория Касперского» назвала 20 самых активных вирусов апреля

Компания «Лаборатория Касперского» представила топ-20 самых активных вирусов в апреле. Лидерами рейтинга признаны Virus.Win32.Sality.aa и Net-Worm.Win32.Kido.ih.

Названные вирусы являются лидерами по числу ПК, на которых они были найдены. Они занимают первые строчки уже второй месяц подряд. В тройку лидеров также попал вредоносный код Trojan-Dropper.Win32.Flystud.ko. Кроме того, в двадцатке отмечено появление двух новичков - Exploit.HTML.CodeBaseExec и Virus.Win32.Virut. Последний сейчас находится на 12 месте, но специалисты по безопасности, ежедневно получающие новые версии этой программы, уверены, что через месяц Virus.Win32.Virut поднимется на несколько строчек вверх. Вирус Exploit.HTML.CodeBaseExec известен еще с 2004 года, когда были зафиксированы его первые версии. Сейчас он использует уязвимость в браузере Internet Explorer старых версий. В рейтинг также вернулся вирус Trojan.Win32.Chifrax.a, который покинул двадцатку еще в октябре прошлого года. Но сейчас он поднялся сразу на четвертое место. Специалисты говорят, что этот вирус представляет собой измененный самораспаковывающийся WinRAR-архив.

Всего за апрель 2009 года на ПК было зарегистрировано около 45,19 тыс уникальных вирусных программ. Это значение практически идентично показателям марта 2009 года.

Эксперты «Лаборатории Касперского» составили еще один рейтинг, в который включили двадцать вредоносных программ, которыми наиболее часто инфицированы встречающиеся на ПК зараженные объекты. В этом рейтинге лидирует Virus.Win32.Sality.aa. Второе и третье место заняли Worm.Win32.Mabezat.b и Virus.Win32.Virut.ce.  

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Финансистам и промышленникам России раздают бэкдор PhantomDL

В начале этого месяца защитные решения «Лаборатории Касперского» отбили две волны вредоносных рассылок на адреса российских организаций — госструктур, производственных предприятий, финансовых институтов, энергетических компаний.

Суммарно эксперты насчитали около 1000 адресов получателя. Анализ показал, что при открытии вредоносного вложения или активации вставленной ссылки в систему загружается написанный на Go вредонос PhantomDL (продукты Kaspersky детектируют его с вердиктом Backdoor.Win64.PhantomDL).

Поддельные сообщения были написаны от имени контрагента целевой организации и имитировали продолжение переписки. Исследователи предположили, что почтовые ящики отправителей могли взломать, а письма — украсть, чтобы придать убедительность подобным фейкам:

 

Вложенный или указанный ссылкой RAR-архив в большинстве случаев был запаролен. Он содержал маскировочный документ и одноименную папку с файлом, снабженным двойным расширением — например, Счёт-Фактура.pdf .exe.

Последний нацелен на уязвимость CVE-2023-38831 (разработчик WinRAR пропатчил ее в августе прошлого года). После отработки эксплойта в систему устанавливается PhantomDL, используемый для кражи файлов, а также загрузки и запуска дополнительных утилит, в том числе инструмента удаленного администрирования.

По данным экспертов, весной этого года через аналогичные рассылки авторы атак на территории России раздавали DarkWatchman RAT.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru