Угрозы вирусов-троянов

30.01.2018 Уктам Сабиров
Перечень наиболее значимых угроз информационной безопасности с начала января 2018 года

Win.Adware.Coupons-6417934-0
(рекламное ПО)

Один из продуктов семейства «Coupons», известное размещением всплывающих (pop-up window) рекламных баннеров на страницах веб-сайтов. Также опасна своими расширениями, через которые на Ваш компьютер могут проникнуть другие вредоносные программы.


Win.Downloader.Downloadguide-6418258-0
(загрузчик)

ПО «Downloadguide» обычно устанавливается в связке с другим ПО. Соответственно, угроза заключается в установке нежелательного ПО и, как следствие, появлении рекламных баннеров или утечке чувствительной информации (истории посещений, браузерные закладки, учетные данные и т.п.).

Создаваемые файлы или папки:
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\DLG\ui\offers\fd286b8d7f971e3468eba12c41b59383\uifile.zip.part
  • \TEMP\download-downloadspeedtest.exe
  • %TEMP%\DLG4547.tmp


Win.Trojan.Agent-6418378-0
(троян по сбору учетных данных)

Обфусцированный .NET-троян, который имеет возможность самостоятельной записи в любом месте оперативной памяти. Он собирает системную информацию, включая данные «Outlook» и «Firefox», а также снимки системного реестра.

Создаваемые файлы или папки:
  • %AppData%\<3 character prefix><5 characters>\<3 character prefix>logim.jpeg
  • %AppData%\<3 character prefix><5 characters>\<3 character prefix>logrv.ini
  • %AppData%\<3 character prefix><5 characters>\<3 character prefix>log.ini
  • %AppData%\<3 character prefix><5 characters>\<3 character prefix>logri.ini
  • %AppData%\<3 character prefix><5 characters>\<3 character prefix>logrc.ini


Win.Trojan.Bancteian
(троян)

Довольно живучий представитель семейства троянцев «Bancteian». Он изменяет системные файлы, препятствует работе механизма контроля учетных записей пользователей и скрывает отображение скрытых файлов. Опасен также исполнением кода загрузки, загруженного с управляющего сервера.

Создаваемые файлы или папки:
  • %AppData%\RCX3.tmp
  • %WinDir%\wininit.exe
  • %WinDir%\wininit.exe (copy)
  • %SystemDrive%\Documents and Settings\Administrator\Local Settings\Application Data\svchost.exe
  • %AppData%\spoolsv.exe (copy)
  • %TEMP%\icsys.ico
  • \TEMP\03479bf7ca41f9cb7a1243103b8cc49b4963489b4fce9d80237d93ce1439fcc2.exe
  • \Users\Administrator\AppData\Local\Microsoft\Windows\WebCache\V01.chk
  • %WinDir%\RCX1.tmp
  • %SystemDrive%\documents and settings\administrator\local settings\application data\svchost.exe (copy)
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\icsys.ico
  • \Users\Administrator\AppData\Local\svchost.exe
  • %SystemDrive%\Documents and Settings\Administrator\Local Settings\Application Data\RCX2.tmp
  • \Users\Administrator\AppData\Local\Microsoft\Windows\WebCache\V0100010.log
  • %AppData%\spoolsv.exe


Win.Trojan.Emotet-6418193-0
(троян)

Представляет из себя дроппер (семейство вредоносных программ), который загружается на компьютеры пользователей через зараженные pdf-файлы с скомпрометированных веб-сайтов, либо через скрытые в коде странице сценарии (технология «iframe», построенная на поведенческом анализе пользователей на веб-страницах). После заражения компьютера он начинает сбор информации с запоминающего устройства (жесткого диска), а также устанавливает интернет-соединения для передачи собранной информации. Распространен как вид подготовительной атаки перед фишинговой атакой на клиентов различных финансовых и банковских порталов.

Создаваемые файлы или папки:
  • \TEMP\0533852f18624569fbef4cf6677063a92fbd695b3ea36e003da95999d6c8d9cb.exe


Win.Trojan.Generic-6417450-0
(троян)

Вирус из семейства троянов, которые используют методы внедрения в процессы для маскировки своих вредоносных действий.

Win.Trojan.Generic-6417989-3
(троян)

Вирус устанавливает соединение с управляющим сервером и перенаправляет похищенную информацию.

Создаваемые файлы или папки:
  • %AppData%\5145C9BD\bin.exe


Win.Trojan.Rincux-6417593-0
(троян)

Вирус предназначен для подготовки или проведения DoS-атак. Опасен тем, что имеет собственный пакет по обходу системного анализа антивриусными программами, а также способностью разбиваться на несколько дочерних процессов, что затрудняет процесс лечения.

Создаваемые файлы или папки:
  • %WinDir%\{BCE28CAE-5ABE-4a95-871F-99EC11C0AA0A}.exe
  • %WinDir%\{21581114-3E37-4566-BDFF-D20147EC1489}.exe
  • %WinDir%\{CB20A050-980B-4166-80A0-C40DD09170BD}.exe
  • %WinDir%\{A2201725-11C8-4a99-97BF-FF6A9C385D0B}.exe


Win.Trojan.SocStealer-6418271-1
(троян)

Крадет и отправляет информацию с компьютера жертвы на управляющий сервер.

Создаваемые файлы или папки:
  • %SystemDrive%\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\X1IF8CSM\report[1].txt
  • %AppData%\Mozilla\Firefox\Profiles\1lcuq8ab.default\new_cookies.sqlite
  • %SystemDrive%\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\X1IF8CSM\dll_x86[1].bin
  • \Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SSZWDDXW\dll_service[1].bin
  • \net\NtControlPipe10
  • %SystemDrive%\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C5MZMU22\report[1].txt
  • %SystemDrive%\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\TQM3V6S2\dll_service[1].bin
  • \winlogonrpc
  • %SystemDrive%\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\Application\winhttp.dll
  • %SystemDrive%\Documents and Settings\Administrator\Local Settings\Application Data\AdService\AdService.dll
  • %SystemDrive%\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C5MZMU22\ip[1]
  • %SystemDrive%\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C5MZMU22\track_dre[1].php
  • \Users\Administrator\AppData\Local\AdService\AdService.dll


Win.Trojan.Zusy-6417556-0
(банковский троян)

Использует сценарий атаки «Man-in-the-Middle» для похищения различной банковской информации (кэш сохраненных страниц и истории посещений, DNS-кэш, учетные данные и т.п.). скрывается за процессами «explorer.exe» и «winver.exe». Когда пользователь посещает страницы банка, выводит форму, куда предлагается ввести такие данные, как логин и пароль, номер банковской карточки и т.п.

Создаваемые файлы или папки:
  • %AppData%\Roaming\DFF7E57F\bin.exe
  • %WinDir%\setupact.log

Дополнительная информация об источниках угроз (IP-адреса и домены)
IP-адреса:
  • 23[.]102[.]60[.]206
  • 104[.]40[.]156[.]71
  • 208[.]91[.]197[.]39
  • 198[.]251[.]84[.]92
  • 198[.]251[.]81[.]30
  • 173[.]44[.]37[.]208
  • 45[.]58[.]190[.]82
  • 103[.]47[.]81[.]80
  • 104[.]149[.]163[.]27
  • 46[.]23[.]69[.]44
  • 64[.]32[.]22[.]101
  • 70[.]39[.]125[.]243
  • 188[.]164[.]131[.]200
  • 104[.]27[.]176[.]2
  • 209[.]141[.]38[.]71
  • 104[.]27[.]177[.]2
  • 192[.]161[.]187[.]200
  • 68[.]65[.]121[.]51
  • 104[.]221[.]251[.]226
  • 198[.]52[.]124[.]90
  • 192[.]0[.]78[.]24
  • 192[.]0[.]78[.]25
  • 107[.]161[.]23[.]204
  • 66[.]96[.]147[.]117
  • 204[.]188[.]203[.]154
  • 95[.]183[.]53[.]20
  • 198[.]54[.]117[.]212
  • 104[.]27[.]162[.]68
  • 216[.]218[.]185[.]162
  • 104[.]238[.]156[.]230
  • 45[.]76[.]142[.]144
  • 52[.]85[.]146[.]50
  • 157[.]240[.]18[.]35
  • 45[.]76[.]241[.]231

Домены:
  • dlg-messages[.]buzzrin[.]de
  • dlg-configs[.]buzzrin[.]de
  • atopgixn[.]info
  • szsyxsy[.]com
  • 9u82eum[.]info
  • doors[.]property
  • pilates-sunbury[.]com
  • jmtravelconsultants[.]com
  • dangkytaikhoan[.]net
  • whoever[.]group
  • YHCF88[.]COM
  • dontdodebt[.]com
  • jieleshxijie[.]com
  • p2017090801-dns01[.]junyudns[.]com
  • flevocoachingenbemiddeling[.]com
  • armortechnologylimited[.]com
  • yhcf88[.]com
  • 020jiezhuang[.]com
  • selfdislikedfarfet[.]site
  • quaintspokenracketiest[.]site
  • millesimalnonremuneration[.]site
  • secularistsarakolet[.]site
  • c[.]lewd[.]se
  • cbunahtesting[.]com
  • api[.]new-api[.]com
  • m[.]facebook[.]com
  • d3vzyycpfbk7qm[.]cloudfront[.]net
  • api[.]kkkkkdajlhlkjhsdewgtuv[.]com
  • down[.]kaidandll[.]com
  • rep[.]pe-wok[.]biz