Наиболее распространенными вирусами в почтовом трафике остаются черви Netsky

Александр Панасенко 06 Мая 2008 - 14:47

...

Компания "Лаборатория Касперского" опубликовала результаты анализа активности вредоносных программ в интернете в апреле нынешнего года.

"Лаборатория Касперского" отмечает, что в апреле почтовый трафик, содержащий вирусы, трояны и шпионские модули, претерпел значительные изменения по сравнению с предыдущим месяцем. В двадцатке наиболее распространенных вредоносных программ появились сразу шесть новичков. В основном - это представители хорошо известных семейств троянов и червей, таких как Mytob, Bagle и Netsky.

Кстати, именно различные разновидности Netsky продолжают удерживать лидерство по распространенности. В двадцатке Касперского присутствуют сразу семь модификаций Netsky, которые в сумме отвечают почти за 64% вредоносного почтового трафика.
Рвавшиеся в марте на первое место черви Mytob.t и Mydoom.m в апреле резко сдали позиции, а выпавшие в феврале из рейтинга вредоносные программы Zhelatin и Warezov пока так и не вернулись в двадцатку.

В целом, отмечает "Лаборатория Касперского", анализ почтового трафика подтверждает тот факт, что вирусописатели теперь предпочитают не рассылать свои творения в качестве вложений в электронные письма.

Наибольшее число инфицированных почтовых сообщений генерируют Соединенные Штаты, на долю которых приходятся 18,5% от общего числа зараженных писем. Второе место с показателем около 10% занимает Южная Корея, а замыкает тройку лидеров Испания - 8,1%. Россия находится на двадцатой позиции, генерируя около 1% от общего числа вредоносных писем.
Вирусная двадцатка Касперского за апрель выглядит следующим образом:

Email-Worm.Win32.NetSky.q - 40,58%
Email-Worm.Win32.NetSky.d - 8,18%
Email-Worm.Win32.NetSky.y - 7,62%
Email-Worm.Win32.Bagle.gt - 6,64%
Email-Worm.Win32.Scano.gen - 6,47%
Email-Worm.Win32.NetSky.aa - 5,81%
Trojan-Downloader.Win32.Agent.ica - 3,08%
Email-Worm.Win32.Nyxem.e - 3,01%
Net-Worm.Win32.Mytob.x - 2,94%
Net-Worm.Win32.Mytob.r - 2,68%
Email-Worm.Win32.Bagle.gen - 1,73%
Email-Worm.Win32.Scano.bn - 1,19%
Email-Worm.Win32.Mydoom.l - 1,07%
Net-Worm.Win32.Mytob.bk - 0,91%
Email-Worm.Win32.Mydoom.m - 0,89%
Email-Worm.Win32.NetSky.c - 0,70%
Net-Worm.Win32.Mytob.c - 0,69%
Email-Worm.Win32.NetSky.t - 0,62%
Email-Worm.Win32.Bagle.dx - 0,47%
Email-Worm.Win32.NetSky.ac - 0,47%

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Татьяна Никитина 27 Февраля 2026 - 16:47

Бэкдоры Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Действующая в России кибергруппа Head Mare обновила Windows-бэкдор

В этом месяце хактивисты Head Mare провели еще одну вредоносную рассылку с прицелом на российские организации. При разборе атак эксперты «Лаборатории Касперского» обнаружили новый вариант трояна PhantomCore.

В предыдущей серии имейл-атак, тоже февральских, группировка Head Mare пыталась заселить в российские корпоративные сети схожий Windows-бэкдор PhantomHeart.

Новые письма-ловушки злоумышленники рассылали от имени некоего НИИ, предлагая его услуги в качестве подрядчика. Вложенный архив под паролем содержал несколько файлов с двойным расширением .pdf.lnk.

При запуске эти ярлыки действуют одинаково: автоматически скачивают с внешнего сервера документы-приманки и файл USOCachedData.txt. Загрузчики различаются лишь ссылками, по которым они работают.

Невинный на вид USOCachedData.txt на самом деле скрывает DLL обновленного PhantomCore. Анализ образца (результат VirusTotal на 23 февраля — 34/72) показал, что новобранец написан на C++, строки кода зашифрованы путем побайтового XOR, а основной задачей трояна является обеспечение удаленного доступа к консоли в зараженной системе.

При подключении к C2-серверу вредонос отправляет два POST-запроса с данными жертвы для регистрации и ожидает команд. В ответ он получает координаты архива с TemplateMaintenanceHost.exe — модулем для создания туннеля, который оседает в папке %AppData% и обживается через создание нового запланированного задания.

Написанный на Go компонент TemplateMaintenanceHost.exe отвечает за запуск утилиты ssh.exe, которая может работать как SOCKS5-прокси и по дефолту включена в состав новейших Windows. Итоговый туннель открывает злоумышленникам возможность подключаться к другим машинам в той же локальной сети.

По данным Kaspersky, новые поддельные письма Head Mare были разосланы на адреса сотен сотрудников российских госучреждений, финансовых институтов, промышленных предприятий и логистических компаний.

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!