Наиболее распространенными вирусами в почтовом трафике остаются черви Netsky

Наиболее распространенными вирусами в почтовом трафике остаются черви Netsky

Компания "Лаборатория Касперского" опубликовала результаты анализа активности вредоносных программ в интернете в апреле нынешнего года.

"Лаборатория Касперского" отмечает, что в апреле почтовый трафик, содержащий вирусы, трояны и шпионские модули, претерпел значительные изменения по сравнению с предыдущим месяцем. В двадцатке наиболее распространенных вредоносных программ появились сразу шесть новичков. В основном - это представители хорошо известных семейств троянов и червей, таких как Mytob, Bagle и Netsky.

Кстати, именно различные разновидности Netsky продолжают удерживать лидерство по распространенности. В двадцатке Касперского присутствуют сразу семь модификаций Netsky, которые в сумме отвечают почти за 64% вредоносного почтового трафика.
Рвавшиеся в марте на первое место черви Mytob.t и Mydoom.m в апреле резко сдали позиции, а выпавшие в феврале из рейтинга вредоносные программы Zhelatin и Warezov пока так и не вернулись в двадцатку.

В целом, отмечает "Лаборатория Касперского", анализ почтового трафика подтверждает тот факт, что вирусописатели теперь предпочитают не рассылать свои творения в качестве вложений в электронные письма.

Наибольшее число инфицированных почтовых сообщений генерируют Соединенные Штаты, на долю которых приходятся 18,5% от общего числа зараженных писем. Второе место с показателем около 10% занимает Южная Корея, а замыкает тройку лидеров Испания - 8,1%. Россия находится на двадцатой позиции, генерируя около 1% от общего числа вредоносных писем.
Вирусная двадцатка Касперского за апрель выглядит следующим образом:

  1. Email-Worm.Win32.NetSky.q - 40,58%
  2. Email-Worm.Win32.NetSky.d - 8,18%
  3. Email-Worm.Win32.NetSky.y - 7,62%
  4. Email-Worm.Win32.Bagle.gt - 6,64%
  5. Email-Worm.Win32.Scano.gen - 6,47%
  6. Email-Worm.Win32.NetSky.aa - 5,81%
  7. Trojan-Downloader.Win32.Agent.ica - 3,08%
  8. Email-Worm.Win32.Nyxem.e - 3,01%
  9. Net-Worm.Win32.Mytob.x - 2,94%
  10. Net-Worm.Win32.Mytob.r - 2,68%
  11. Email-Worm.Win32.Bagle.gen - 1,73%
  12. Email-Worm.Win32.Scano.bn - 1,19%
  13. Email-Worm.Win32.Mydoom.l - 1,07%
  14. Net-Worm.Win32.Mytob.bk - 0,91%
  15. Email-Worm.Win32.Mydoom.m - 0,89%
  16. Email-Worm.Win32.NetSky.c - 0,70%
  17. Net-Worm.Win32.Mytob.c - 0,69%
  18. Email-Worm.Win32.NetSky.t - 0,62%
  19. Email-Worm.Win32.Bagle.dx - 0,47%
  20. Email-Worm.Win32.NetSky.ac - 0,47%
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Троян Shuyal Stealer ворует данные из 19 браузеров и исчезает без следа

В ИБ-компании Point Wild проанализировали образец Windows-стилера Shuyal, объявившегося в июле, и обнаружили внушительный список целевых браузеров — 19 наименований, в том числе Яндекс Браузер и Tor.

Свое имя написанный на C++ зловред (детектится на VirusTotal с результатом 48/72 по состоянию на 8 октября) получил по найденному в экзешнике идентификатору. От собратьев новобранец отличается не только большим количеством целей, но также умением заметать следы.

После запуска Shuyal Stealer прежде всего выполняет глубокое профилирование зараженной системы с помощью WMI: собирает данные жестких дисков (модель, серийный номер), подключенной клавиатуры (включая ID), информацию о настройках монитора, чтобы выстроить стратегию кражи данных сообразно конкретным условиям.

Троян также прибивает Диспетчер задач, способный выдать запуск вредоносных процессов, и прописывается в системе на автозапуск.

Кража данных осуществляется с помощью скриптов PowerShell. При этом зловреда интересует следующая информация:

  • сохраненные в браузере учетки, куки и история посещения сайтов;
  • содержимое буфера обмена;
  • токены аутентификации из Discord, Discord Canary и Discord PTB.

Инфостилер также умеет делать скриншоты, чтобы добавить контекст к украденным данным.

Вся добыча вместе с журналом вредоносной активности (history.txt) помещается в директорию runtime, специально создаваемую в папке временных файлов. Для эксфильтрации ее содержимое архивируется (runtime.zip) и затем отсылается в телеграм-бот, который Shuyal находит по вшитому ID.

Завершив кражу и вывод данных, Shuyal пытается стереть все следы своего присутствия в системе с помощью скрипта util.bat.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru