2018.01.31
2018年初在Google Play目录中发现了多款内嵌木马的安卓游戏。内嵌木马在被感染设备下载并启动恶意模块。病毒分析人员还对多个感染Windows服务器的挖矿木马进行了研究。所有这些挖矿木马都利用了Cleverence Mobile SMARTS Server软件中的漏洞。
1月主要趋势
- 在Google Play目录出现一个危险的安卓木马
- 感染Windows服务器的新版本挖矿木马正在传播
本月威胁
Cleverence Mobile SMARTS Server是用于商店、仓库、各种生产和设施自动化的复杂应用程序。Doctor Web公司分析人员于2017年7月在这些程序中发现零日漏洞并通知软件开发人员。开发人员很快发布了针对自己产品的安全更新。但并不是所有管理员都安装了这些更新,这使不法分子有机会继续攻击有漏洞的服务器。为此,网络犯罪分子向有漏洞的服务器发送特殊请求,促使执行该请求中包含的指令。随后攻击者在系统中创建一个具有管理员权限的新用户,并使用此帐户通过RDP协议未授权访问服务器。在某些情况下,网络犯罪分子使用Process Hacker工具结束在服务器安装的反病毒产品的进程。一旦获得系统访问权限,就会在系统中安装挖矿木马。
网络犯罪分子使用的挖矿木马在不断完善。最初,他们使用的是被添加到Dr.Web病毒库并命名为Trojan.BtcMine.1324、Trojan.BtcMine.1369和Trojan.BtcMine.1404的多个木马变种。随后挖矿木马列表中添加了Trojan.BtcMine.2024、Trojan.BtcMine.2025、Trojan.BtcMine.2033,目前最新版本的挖矿木马是Trojan.BtcMine.1978。
该木马作为一个非常重要的系统进程启动,如果试图关闭这一进程,Windows运行会出现崩溃并显示“蓝屏死机”(BSOD)。启动后,挖矿木马会试图停止进程并删除多个反病毒服务。网络犯罪分子使用Trojan.BtcMine.1978来挖掘加密电子货币Monero(XMR)和Aeon。Doctor Web公司技术人员建议安装由开发人员发布的所有Cleverence Mobile SMARTS Server安全更新。有关此事件的更多详情请参阅我们网站上发布的综述。
Dr.Web反病毒产品收集的统计数据
- Trojan.Moneyinst.520
- 一种在受害者计算机上安装包括木马在内各种软件的恶意程序。
- Trojan.Starter.7394
- 一种主要用于在被感染系统启动带有特定恶意功能的可执行文件的木马家族代表。
- Trojan.BPlug
- 此加载项(插件)用于常见浏览器,在网页中显示烦人的广告。
- Trojan.DownLoad
- 用来在受攻击计算机下载其他恶意应用的木马家族。
- Trojan.Zadved
- 是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息。
Doctor Web统计服务器收集的数据结果
- JS.BtcMine.7, JS.BtcMine.2
- 用于暗中获取(采集)加密电子货币的JavaScript脚本。
- JS.Inject
- 一种用JavaScript语言编写的恶意脚本家族,可将恶意脚本嵌入到网站HTML代码。
- JS.DownLoader
- 一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意软件。
- Trojan.PWS.Stealer
- 一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意软件。
邮箱流量恶意程序统计
- JS.BtcMine.7
- 用于暗中获取(采集)加密电子货币的JavaScript脚本。
- JS.Inject
- 一种用JavaScript语言编写的恶意脚本家族,可将恶意脚本嵌入到网站HTML代码。
- Trojan.Encoder.24348
- 一种加密计算机文件并要求受害者支付解密的勒索木马家族代表。
- Trojan.PWS.Stealer
- 一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意软件。
加密器
1月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
- Trojan.Encoder.858 — 申请的22.12% ;
- Trojan.Encoder.567 — 申请的7.83%;
- Trojan.Encoder.11539 — 申请的6.45%;
- Trojan.Encoder.2267 — 申请的3.46%;
- Trojan.Encoder.761 — 申请的3.23%;
- Trojan.Encoder.3953 — 申请的3.20%。
Dr.Web Security Space 11.0 for Windows
抵御木马加密器
大蜘蛛基础版Dr.Web Anti-virus for Windows授权不包含此功能。
| 防止数据丢失 | |
|---|---|
 |  |
危险网站
2018年1月份Dr.Web不推荐网站和恶意网站数据库新添309 933个互联网地址。
| 2017.12 | 2018.01 | 增幅 |
|---|---|---|
| + 241 274 | + 309 933 | +28.4% |
移动恶意软件和不良软件
1月份,Doctor Web公司病毒分析人员侦测到内嵌在多个Google Play目录中安卓游戏的木马Android.RemoteCode.127.origin。该木马暗中下载并启动能够执行各种操作的恶意模块。此外,1月份用户还受到银行木马Android.BankBot.250.origin的威胁,该木马会窃取登录网上银行账户的用户名和密码。1月份信息安全人员还发现被命名为Android.CoinMine.8的挖矿恶意程序。该木马使用被感染智能手机和平板电脑的功能来获取加密电子货币Monero。1月份Dr.Web病毒库还添加了多个安卓间谍木马记录,不法分子利用这些木马从事间谍活动。其中一个是Android.Spy.422.origin。其他恶意应用是2017年12月广为传播的木马Android.Spy.410.origin的新变种。
1月份最值得注意的移动安全事件有:
- Google Play中出现一种新木马;
- 利用被感染移动设备获取加密电子货币的新安卓挖矿木马正在传播;
- 出现新的间谍木马。
1月份移动病毒情况更多详情请参阅移动威胁综述。
