Описание вредоносного ПО

Рост активности Sober.y

Семейство Sober известно благодаря своим сложным алгоритмам размножения и совершения вредоносных действий. Начиная с обнаруженного 21 февраля 2005 года варианта Sober.k в поле «От:» начали фигурировать поддельные адреса ФБР. Неискушенные в вопросах безопасности пользователи часто становились жертвами новой тактики вирусописателей.

Наиболее распространенный на данный момент вариант Sober.y был обнаружен еще на прошлой неделе, но активно размножаться начал только 21 ноября. Причина кроется в очередном сложном алгоритме размножения, для работы которого требуется участие других вредоносных программ того же семейства.

Интересной особенностью эпидемии Sober.y можно считать фактическое ее отсутствие на территории России (именно поэтому мы решили не публиковать предупреждение о Sober.y на русских версиях наших сайтов). Подобное уже случалось ранее, когда большинство сообщений о заражениях приходило с территории Германии. По абсолютным показателям распространенности за последние сутки Sober.y отстает от Mytob.bi, однако динамика роста числа перехваченных образцов позволяет предполагать, что завтра-послезавтра он выйдет на первое место.

Несмотря на внушительность эпидемии, она не идет ни в какое сравнение с эпидемией, например, варианта Sober.a, случившейся осенью 2003-го года. Отчасти это, конечно, обусловлено существенно усовершенствованными за прошедшее время алгоритмами общей защиты и возросшей скоростью реакции антивирусных компаний.

Рост активности Sober.y

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике