Угрозы вирусов-троянов (продолжение)

Перечень наиболее значимых угроз информационной безопасности с начала февраля 2018 года

Img.Dropper.PhishingLure-6443153-0
Угроза кроется в запросе на разрешение выполнения динамического контента в документах Microsoft Office, загруженных как вложения в сообщениях электронной почты.

Создаваемые файлы или папки:
  • %WinDir%\SysWOW64\specsystem.exe

Win.Adware.InstallMonster-6443601-0
(рекламное ПО)

Пакет ПО, который может установить нежелательные приложения в системе, а также отображать нежелательные рекламные объявления.

Создаваемые файлы или папки:
  • %Public%\Desktop\Download Corel Painter ...lnk

Win.Downloader.Adload-6418193-1
(загрузчик)

Вирус семейства Adware, постоянно открывающий всплывающие окна или фейковые уведомления о системных ошибках, которые отправляют пользователя на посторонние веб-сайты или предлагают установить заведомо потенциально опасное ПО.

Win.Downloader.DownloaderGuide-6443792-0
(загрузчик)

Этот кластер включает установщик "XmasFred", который загружает и выполняет другие двоичные файлы.

Создаваемые файлы или папки:
  • %WinDir%\SoftwareDistribution\DataStore\DataStore.edb
  • %WinDir%\WindowsUpdate.log

Win.Trojan.Emotet-6444504-0
(троян)

Вредонос из кластера "Emotet" и "Tinba", внедряет в систему обфусцированные исполняемые файлы VisualBasic

Создаваемые файлы или папки:
  • %WinDir%\setupact.log
  • %System32%\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
  • %System32%\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
  • \Users\Administrator\AppData\Local\Microsoft\Windows\WebCache\V01.chk
  • %WinDir%\Tasks\SCHEDLGU.TXT
  • %System32%\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2580483871-590521980-3826313501-500_UserData.bin
  • %AppData%\Microsoft\Protect\S-1-5-21-2580483871-590521980-3826313501-500\638784ff-73cd-4f1c-a5cf-845c7e3f97ce
  • %System32%\config\TxR\{016888cc-6c6f-11de-8d1d-001e0bcde3ec}.TxR.blf
  • %AppData%\Microsoft\Protect\S-1-5-21-2580483871-590521980-3826313501-500\Preferred

Win.Trojan.GenInjector
(троян)

Представитель семейства весьма вредоносных программ, которые внедряют свои данные в адресное пространство других процессов. Также, данный вредонос замещает собой другие процессы, которые присущи спящему режиму, что препятствует их анализу антивирусными программами.

Создаваемые файлы или папки:
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\284_appcompat.txt
  • \TEMP\SOA October IN274348.exe
  • %WinDir%\SoftwareDistribution\DataStore\DataStore.edb
  • \EVENTLOG
  • %WinDir%\WindowsUpdate.log
  • %WinDir%\SoftwareDistribution\DataStore\Logs\tmp.edb
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\10B26.dmp

Win.Trojan.Zusy-6443152-0
(троян)

Этот троян .NET содержит модуль под названием "God.exe", который создает фальшивый процесс "svchost.exe" в AppData и добавляет запись в список авторизованных приложений в брандмауэре Windows.

Создаваемые файлы или папки:
  • %AppData%\mirc
  • %AppData%\svchost.exe

Дополнительная информация об источниках угроз (IP-адреса и домены)
IP-адреса:
  • 176[.]223[.]209[.]113
  • 212[.]5[.]159[.]61
  • 200[.]7[.]96[.]22
  • 198[.]54[.]117[.]200
  • 31[.]31[.]196[.]236

Домены:
  • www[.]manuelaponomarenco[.]ro
  • sciencemiracle[.]top
  • www[.]quaintspokenracketiest[.]site
  • dlg-messages[.]buzzrin[.]de
  • dlg-configs[.]buzzrin[.]de
  • u0417398[.]cp[.]regruhosting[.]ru
  • runeo[.]no-ip[.]info