Исследователи из Центра Microsoft по защите от вредоносного ПО (Microsoft Malware Protection Center, MMPC) отметили пик заражения Win/32.Upatre в последние месяцы. Троянец компрометирует компьютеры с помощью вредоносного приложения к электронному письму и после установки начинает загружать различные зловреды со своего сервера управления и контроля.

Upatre-Report-Count

В ходе спам-кампании по распространению Upatre рассылаются вредоносные файлы с названиями, содержащими названия доменов, компаний или людей или даже случайные слова или наборы букв: USPS_Label_<случайное число>.zip, USPS — Missed package delivery.zip, Statement of Account.zip, <число>-<число>.zip, TAX_<случайное название>.zip, Case_<случайное число>.zip, Remit_<случайное название>.zip, ATO_TAX.zip и ATO_TAX_<случайное название>.zip.

Данные мониторинга показали, что администраторы Upatre поставляют троянец с эксплойт-китом для Java- и PDF-уязвимостей.

Согласно MMPC, Upatre в первую очередь является передаточным звеном для доставки вредоносного ПО. До сих пор его любимым «грузом» было Win32/Zbot.gen!AM, семейство зловредов, крадущих логины и пароли и, возможно, передающих управление зараженной машиной злоумышленнику. Совсем недавно исследователи увидели, как троянец устанавливает также дроппер Win32/Rovnix.I. Rovnix и записывает вредоносный код в загрузочный сектор диска NTFS, который внедряет в explorer.exe код, загружающий другое вредоносное ПО с домена youtubeflashserver[dot]com при каждом запуске зараженной машины.

Upatre загружает своих зловредов с нескольких доменов, включая mytarta[dot]com, cyclivate[dot]com, pentruder[dot]co[dot]uk и huyontop[dot]com.

Зловред Zbot исторически использует алгоритм генерации доменного имени для затруднения обнаружения загрузки им своих обновлений. Исследователи MMPC утверждают, что он также все чаще загружает другое вредоносное ПО: сначала блокер CryptoLock, вымогающий выкуп в биткойнах, а впоследствии и Win32/Necurs.A, зловред пока неизвестного назначения.

В данный момент Upatre почти исключительно проблема США, около 97% его заражений происходит там. С большим отрывом за США следуют Великобритания (0,89%), Канада (0,46%), Австралия (0,27%) и Япония (0,19%).

upatreb_dist

Категории: Вредоносные программы