Опять Warezov. Статистика за 7 дней и факты

[_Stout 131]

Итак, статистика за 7 дней недели. Данные предоставлены Kaspersky Hosted Security (www.HostedSecurity.ru)

Самые "популярные" вредоносы почтового трафика за последние 7 дней:

Email-Worm.Win32.Warezov.dn 36.8%

Email-Worm.Win32.Warezov.ev 18.6%

Email-Worm.Win32.Warezov.do 7.90%

Email-Worm.Win32.NetSky.q 5.62%

Email-Worm.Win32.Warezov.eu 5.40%

Email-Worm.Win32.Warezov.dc 3.25%

Email-Worm.Win32.NetSky.aa 3.16%

Email-Worm.Win32.Warezov.ep 2.63%

Email-Worm.Win32.NetSky.b 2.48%

Other 14.0%

Сегодня:

Email-Worm.Win32.Warezov.ev 61.4%

Email-Worm.Win32.Warezov.eu 14.4%

Email-Worm.Win32.Warezov.dc 7.21%

Email-Worm.Win32.NetSky.q 3.74%

Email-Worm.Win32.Warezov.ew 3.58%

Email-Worm.Win32.Warezov.do 2.98%

Email-Worm.Win32.Warezov.dn 2.23%

Email-Worm.Win32.NetSky.aa 1.95%

Email-Worm.Win32.Warezov.et 0.47%

Other 1.95%

NetSky вытеснет с топов!

%% вредоносов в почтовом потоке

21 - 3,41%

22 - 5,07%

23 - 7,17%

24 - 0,46%

25 - 0,31%

26 - 0,88%

27 - 5,92%

Warezov кроме того, что плодится еще и ворует адреса электронной почты. Во время вирусного затишья, мы зафиксировали всплеск активности спамеров 24 и 25 октября, как раз после массовой рассылки. Кол-ва спама в потоке превысило 91% (обычно около 80-85%).

Сегодня была тоже большая рассылка и мы ожидаем всплеск спам рассылки в понедельник.

[Dexter 20]

еще и ворует адреса электронной почты

Это вроде новое?

Может кто-нибудь объяснить физический смысл этой рассылки

Limar/Warezov/Stration ?

Удовольствие?

Слава?

Проверка реакции антивирусов?

Отработка технологий?

Ждут ли специалисты продолжения в новом содержании?

По-моему, достаточно удивительный червяк для сегодня.

[Денис Лебедев 20]

Это вроде новое?

Да нет, не новое. Он создаёт для себя файл(ы) с расширением *.wax. Если его открыть даже просто блокнотом, то можно будет лецизреть все те мыла, который он собрал для себя. Причем файл(ы) этот(эти) могут достигать размера нескольких десятков метров.

[Dexter 20]

Так что, суть только в распространении?

А дальше что?

[_Stout 131]

Это вроде новое?

Да нет, не новое. Он создаёт для себя файл(ы) с расширением *.wax. Если его открыть даже просто блокнотом, то можно будет лецизреть все те мыла, который он собрал для себя. Причем файл(ы) этот(эти) могут достигать размера нескольких десятков метров.

Ну и посылает эти данные на свои вэб сайты. Примерно со скоростью 100 адресов в секунду на каждый

Добавлено спустя 1 минуту 18 секунд:

Так что, суть только в распространении?

А дальше что?

А дальше? Дальше кража персональных данных, установка проски и распространение не только себя, но и Pinch. Да все что угодно -- червь имеет ф-цию дотаскивания модулей из интернета. Мало?

Добавлено спустя 1 минуту 15 секунд:

Может кто-нибудь объяснить физический смысл этой рассылки

Limar/Warezov/Stration ?

Удовольствие?

Слава?

Проверка реакции антивирусов?

Отработка технологий?

Ждут ли специалисты продолжения в новом содержании?

Одна из целей -- кража персональных данныс с целью перепродажи. Продолжение обязательно будет. С начала недели атака спамеров.

[Сергей Ильин 1538]

Warezov кроме того, что плодится еще и ворует адреса электронной почты. Во время вирусного затишья, мы зафиксировали всплеск активности спамеров 24 и 25 октября, как раз после массовой рассылки. Кол-ва спама в потоке превысило 91% (обычно около 80-85%).

Да уж ... столько спама на наши ящики еще не валилось никогда ... процент спама был где-то около 95%

Так что, суть только в распространении?

А дальше что?

А рассылка спама? Это вполне приличные деньги. Адреса есть, зараженные машины есть, все карты у людей.

[Олег Рагозин 10]

Сегодня похоже пошла очередная волна эпидемии.

Я уже получил за полдня 12 писем, содержащих Worm.Stration.WX по классификации DrWeb.

[_Stout 131]

Сегодня похоже пошла очередная волна эпидемии.

Я уже получил за полдня 12 писем, содержащих Worm.Stration.WX по классификации DrWeb.

DrWeb называет Limar. А Сегодня активно рассылается Warezov.hb (старый вариант, обнаружен в понедельник). Были часы, когда в трафике его было больше 10%.

[Сергей Ильин 1538]

_Stout, а по источникам распространения что-то поменялось по сравнению с началом "затяжной эпидемии"?

Для рассылки используются в большей части зомби-машины или все же какие-то несколько узлов в сети?

Помогает ли применение репутационых фильтров для предотвращения подобных вирусных атак?

[_Stout 131]

_Stout, а по источникам распространения что-то поменялось по сравнению с началом "затяжной эпидемии"?

Для рассылки используются в большей части зомби-машины или все же какие-то несколько узлов в сети?

Помогает ли применение репутационых фильтров для предотвращения подобных вирусных атак?

Зомби машины. Диких вирусов практически нет. Обычно дикие экземпляры бывают в первый и второй дни рассылки, потом уже нет. Вобще, я сильно удивлен, что сегодня была разослана старая версия червя. Есть одна версия почему так: за рассылу заплатили заранее, а к пятнице не получилось подогнать новую версию. Но рассыльщики, как честные бизнесмены, разослали старую версию червя. ;-)