Обзор вирусной активности - Top 20 Online - май 2008

Статистика онлайн-сканера в мае 2008 года продолжает претерпевать поистине революционные изменения. Рекламная программа Virtumonde.gen - безусловный лидер всего 2008 года – полностью исчезла из поля зрения. Черви семейства Bagle, несколько представителей Trojan.Win32.Dialer – никого не осталось в первой двадцатке.

Им на смену пришло новое поколение вредоносных программ, к сожалению, гораздо более опасных, - файловые вирусы. Ими оккупированы 3 и 4 места (черви Allaple), 2 и 10 (вирусы Virut), 12 (вирус Xorer.du), 20 (вирус Alman.b). Сразу шесть позиций из 20, три различных семейства – такого успеха файловые вирусы никогда ранее в наших отчетах не добивались.

Особую опасность представляют вирусы семейства Virut. В апреле мы уже писали о том, что это боты для построения зомби-сети. Зараженные ими компьютеры могут быть использованы для проведения DDoS-атаки, рассылки спама, распространения новых вирусов.

На этом фоне относительно безобидными выглядят даже старожилы рейтинга – черви Brontok.q и Rays. Brontok, кстати, потерял пять позиций и уступил первое место новому лидеру – троянскому загрузчику Pendix.d. Этот троянец был обнаружен нами еще в декабре 2007 года, однако только сейчас вышел на эпидемиологический уровень распространения.

Странно, но внезапно исчезли и активные в прошлые месяцы китайские бэкдоры Hupigon) и нацеленные на кражу аккаунтов онлайн-игр троянцы-шпионы OnlineGames, тоже китайского происхождения.

Онлайн-итоги мая

  • В двадцатке появились 9 новых вредоносных и потенциально опасных программ: Trojan-Downloader.Win32.Pendix.d, Net-Worm.Win32.Allaple.b, Net-Worm.Win32.Allaple.e, Backdoor.Win32.Prorat.dz, Virus.Win32.Xorer.du, Trojan-Spy.Win32.Delf.ps, not-a-virus:PSWTool.Win32.PWDump.2, Backdoor.Win32.Bifrose.de, Virus.Win32.Alman.b.
  • Свои показатели повысили: Virus.Win32.Virut.n, not-a-virus:AdWare.Win32.Agent.zk, Trojan.Win32.Delf.aam, Worm.Win32.Mabezat.b, Trojan-Spy.Win32.Ardamax.n
  • Свои показатели понизили: Email-Worm.Win32.Brontok.q, not-a-virus:PSWTool.Win32.RAS.a, Virus.Win32.Virut.q, Email-Worm.Win32.Rays
  • Вернулись в двадцатку: Trojan-Downloader.Win32.AutoIt.aa, Worm.Win32.AutoIt.i
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новый вариант шифровальщика Darkside нацелен на разделы диска

Исследователи из Fortinet выявили неизвестный ранее вариант вымогательской программы Darkside, способный отыскивать информацию о разбиении дисков и действовать в системных средах с многозагрузочной конфигурацией. Такое поведение эксперты никогда не встречали у шифровальщиков.

Windows-зловред Darkside, ориентированный на корпоративные сети, появился на интернет-арене в августе 2020 года. Из громких атак с его использованием наибольшее внимание привлек недавний инцидент в крупной американской компании Colonial Pipeline, после которого операторы RaaS-сервиса Darkside свернули свои операции.

Проведенный в Fortinet анализ показал, что новый вариант Darkside создан той же криминальной группировкой, но отличен от версии, засветившейся в атаке на Colonial Pipeline. Он пока применяется точечно против небольшого числа организаций.

Обнаружив у вредоноса функцию поиска разделов диска, эксперты вначале подумали, что с ее помощью тот отыскивает и шифрует файлы резервных копий, спрятанные админом. Однако тестирование показало, что обновленный Darkside сканирует диски с иной целью.

Он определяет, является ли целевая система многозагрузочной, и при положительном результате ищет дополнительные тома и разделы с файлами, пригодными для шифрования. Таким образом, новоявленный вариант зловреда способен причинить больший ущерб в случае заражения.

Новобранец также умеет отыскивать в сети контроллеры домена Active Directory и подключаться к ним, используя для аутентификации протокол LDAP. На таких серверах обычно хранится уйма информации, полезной для авторов атаки.

Командный сервер нового Darkside находится в США и размещен у хорошо известного владельца bulletproof-хостинга, базирующегося в Нидерландах. Этот IP-адрес, по свидетельству Fortinet, и ранее неоднократно использовался в различных атаках. Управление резидентными зловредами осуществляется на порту 443 (RDP) с маршрутизацией трафика через сеть Tor.

Собранные за месяц данные телеметрии показали большое количество подключений к C2-серверу с территории США (60%).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru