Снова о вирусах-троянах

01.10.2018 Уктам Сабиров
Самые распространенные угрозы вирусов за сентябрь 2018 года (кратко)
Win.Dropper.Gamarue-6682684-0
Gamarue, также известный как Andromeda, является ботнетом, используемым для распространения вредоносного ПО, кражи информации и выполнения других нелегальных действий, таких как мошенничество с кликами.

Doc.Downloader.Powload-6681541-0
Powload - это вредоносный документ, который использует PowerShell для загрузки вредоносных программ. В настоящее время эта кампания распространяется на вредоносное ПО Emotet.

Win.Dropper.Hploki-6682476-0
HpLoki распространяется через malspam и предназначен для кражи паролей и учетных данных пользователей для обычных программ, таких как Firefox и Outlook.

Win.Dropper.Emotet-6681708-0
Emotet - это банковский троянец с возможностью удаленного доступа, который остается актуальным из-за его непрерывной эволюции, чтобы обойти антивирусные продукты.

Win.Dropper.Kovter-6681669-0
Kovter известна своим файловым механизмом непрерывности. Это семейство вредоносных программ создает несколько вредоносных записей реестра, которые хранят вредоносный код. Kovter способен повторно заражать систему, даже если файловая система была очищена от заражения. Kovter использовался в прошлом, чтобы распространять вредоносные программы для вымогательства и мошенничества с помощью кликов.

Win.Dropper.Bredolab-6681668-0
Bredolab - это троянец с возможностью удаленного доступа, который загружает и распространяет другие вредоносные программы, такие как бот-сети и трояны удаленного доступа (RAT).

Win.Dropper.Johnnie-6681665-0
Johnnie, также известный как Mikey, является семейством вредоносных программ, которое фокусируется на постоянстве и известно своей плагиновой архитектурой.

WinDropper.Zbot-6681657-0
Zbot, также известный как Zeus, является трояном с возможностью удаленного доступа, который крадет информацию, такую как банковские учетные данные, с использованием различных методов, включая регистрацию ключей и захват форм.

Doc.Dropper.Valyria-6680534-0
Valyria - это вредоносное семейство документов Microsoft Word, которое используется для распространения других вредоносных программ. В настоящее время эта кампания распространяется на Emotet.

Win.Dropper.Darkkomet-6680876-0
DarkKomet - это бесплатный инструмент удаленного доступа, выпущенный независимым разработчиком программного обеспечения. Он обеспечивает ту же функциональность, которую вы ожидаете от инструмента удаленного доступа: keylogging, доступ к веб-камерам, доступ к микрофону, удаленный рабочий стол, загрузка URL-адреса, выполнение программы и т. д.

Win.Dropper.Ponystealer-6680912-0
Ponystealer, как известно, крадет учетные данные из более чем 100 различных приложений и может также устанавливать другие вредоносные программы, такие как троянец удаленного доступа (RAT).

Win.Dropper.Tspy-6680869-0
Троянщик Tspy используется для кражи информации, такой как банковские учетные данные, и устанавливает бэкдор удаленного доступа.

Дополнительная информация об источниках угроз (IP-адреса и домены)
IP-адреса:
  • 65 [.] 154 [.] 166 [.] 201
  • 45 [.] 122 [.] 138 [.] 6
  • 213 [.] 180 [.] 204 [.] 38
  • 46 [.] 249 [.] 38 [.] 155
  • 104 [.] 16 [.] 19 [.] 96
  • 104 [.] 16 [.] 18 [.] 96
  • 104 [.] 28 [.] 12 [.] 17
  • 104 [.] 27 [.] 133 [.] 244
  • 104 [.] 31 [.] 75 [.] 107

Домены:
  • pafindo[.]me
  • www[.]greenfleld[.]com
  • safemann[.]tk
  • awele[.]duckdns[.]org
  • genpral[.]top
  • dogged[.]cf
  • siyaghasourccing[.]com
  • www[.]slompbit[.]xyz

Win.Dropper.Genkryptik-6690044-0
Эта угроза пытается распространяться через съемные диски и спам-электронную почту. Он использует легитимные SMTP-серверы для отправки спама со своих жертв.

Win.Dropper.Dofoil-6689818-0
Dofoil, известный как SmokeLoader, в основном используется для загрузки и выполнения дополнительных вредоносных программ.

Doc.Malware.Nastjencro-6688356-0
Nastjencro использует PowerShell для загрузки и выполнения дополнительных вредоносных программ.

Win.Dropper.Kovter-6689163-0
Kovter использует mshta и PowerShell, чтобы свести к минимуму его присутствие на жестком диске жертв. Он использует реестр для запуска вредоносного скрипта в любое время, когда файл с определенным расширением файла открывается (например, * .clUQwv).

Win.Dropper.Coinminer-6688928-0
Это вредоносное ПО устанавливает и выполняет программное обеспечение для криптовалютики.

Win.Dropper.Fareit-6688124-0
Троянец Fareit - это, в первую очередь, похититель информации с возможностью загрузки и установки других вредоносных программ.

Doc.Downloader.Pederr-6686124-0
Peder использует вредоносные сценарии PowerShell для загрузки и выполнения вредоносного исполняемого файла. Было замечено установку вредоносного ПО, такого как Emotet.

Дополнительная информация об источниках угроз (IP-адреса и домены)
IP-адреса:
  • 217[.]160[.]223[.]46
  • 98[.]124[.]199[.]17
  • 52[.]54[.]24[.]134
  • 94[.]130[.]64[.]225

Домены:
  • www[.]businessintuitive[.]expert
  • www[.]instrovate[.]com
  • www[.]meesebyte[.]com
  • www[.]mxauny[.]men
  • www[.]anotherlscreation[.]com
  • www[.]maisonlecallennec[.]com
  • www[.]weltho[.]com
  • www[.]ybnonline[.]com