Doctor Web公司新闻

Doctor Web：2026年第一季度移动设备病毒活动综述

Wed, 01 Apr 2026 00:00:00 GMT

2026.04.01

根据Dr.Web Security Space移动设备保护产品的侦测统计数据，显示烦人广告的恶意软件 Android.MobiDash 和 Android.HiddenAds 在2026年第一季度的活跃程度持续下降。与去年第四季度相比，在受保护设备的侦测频率分别下降了32.70%和7.09%。替代这些恶意软件成为主要威胁的是 Android.Banker 家族的银行木马，其活动在过去三个月中的增长超过2.5倍以，成为最常见的安卓威胁。这些恶意应用程序能够拦截包含银行交易确认码的短信，显示钓鱼窗口，还可以模仿合法的银行软件来窃取机密数据。用户最常遭遇的是属于 Android.Banker.Mamont 子家族的木马，该子家族包含多种恶意软件。

此外，使用NP Manager黑客修改工具修改并通过添加垃圾代码来混淆逻辑的应用程序在第一季度也广泛传播，占到侦测总量的15.35%。去年秋季以来，Android.Banker.Mamont 木马家族就已积极属于此类工具，目的是逃避反病毒软件的侦测。因此，发现应用程序被修改时，我们的产品会发出警告。Dr.Web反病毒产品将此类软件侦测为 Tool.Obfuscator.TrashCode。

另一种常见的威胁软件类型仍然是使用NPManager工具（Dr.Web将其侦测为 Tool.NPMod）修改过的程序，尽管侦测量下降了31.65%。这种工具包含用于保护和混淆程序代码的各种模块，以及在修改后绕过数字签名验证的功能，被网络犯罪分子用来保护恶意软件，增加反病毒软件将其侦测的难度。

最常见的不良应用是伪装成反病毒软件的 Program.FakeAntiVirus，声称可以侦测威胁，但需要用户购买完整版才能“清除”威胁。用户还遭遇了 Program.FakeMoney 和 Program.CloudInject 家族的程序，一种是声称用户通过完成各种任务可以赚钱，一种是通过CloudInject云服务修改过的软件。这种访问用于向应用程序添加危险的系统权限和其功能不可控制的混淆后代码。

在众多广告软件中，侦测最多的是所谓优化程序 Adware.Bastion.1.origin，会定期弹出通知，谎称内存不足或存在系统错误，但实际上是在“优化”过程中显示广告。另一种侦测较多的广告软件是 Adware.Opensite.15，攻击者将其伪装成用来获取游戏资源的游戏作弊工具。实际上这些程序会加载各种显示广告的网站。嵌入 Adware.AdPush 广告模块的程序也在广泛传播。

今年1月，DoctorWeb向用户通报新型点击木马家族 Android.Phantom。我们的病毒分析师发现该恶意软件有多个传播渠道，其中包括小米设备的官方应用商店Get Apps，该木马程序被嵌入到上架的多个游戏。网络犯罪分子还通过各种Telegram频道、Discord服务器、在线软件合集和恶意网站传播嵌入点击器热门应用修改版。

攻击者在 Android.Phantom 利用机器学习技术和Web RTC技术（一种通过浏览器传输包括视频在内的流数据的技术）来增加网站广告点击量。这些木马程序会在一个不可见的WebView中加载目标网络资源以及JavaScript代码用于模拟用户操作。与广告的交互有两种模式。如果设备支持WebRTC，Android.Phantom 点击器会将加载了网站的虚拟屏幕展示给攻击者，攻击者可以手动或使用自动化系统控制屏幕。

如果WebRTC不可用，则会使用基于TensorFlowJS框架的自动化JavaScript脚本。点击器会从远程服务器下载必要的行为模型，以及包含框架本身和运行模型以及与目标网站交互所需所有函数的JavaScript代码。

我公司反病毒实验室第一季度在Google Play应用商店侦测到新威胁，其中包括很多 Android.Joker 木马程序，以及恶意软件 Android.Subscription.23 和 Android.Subscription.24。所有这些恶意软件的功能都是为用户订阅付费服务。

第一季度主要移动安全事件：

银行木马 Android.Banker 成为安卓设备最常见的威胁
网络犯罪分子越来越频繁使用安卓应用修改工具来增强银行木马逃避反病毒软件侦测的能力
广告木马 Android.MobiDash 和 Android.HiddenAds 的活动持续下降
用户受到木马 Android.Phantom 的威胁，这类木马利用机器学习和视频流来操纵网站点击量
恶意应用仍在通过Google Play传播

Dr.Web for Android保护产品统计信息

最常见的恶意软件

Android.Banker.Mamont.80.origin: 银行木马程序，能拦截包含信贷机构发送的一次性验证码的短信、通知内容，并收集其他机密信息，包括受感染设备的技术数据、已安装应用程序列表、SIM卡信息、通话记录以及收发的短信。
Android.FakeApp.1600: 能够下载其设置中指定的网站的木马，已知变种加载的是在线赌场
Android.HiddenAds.675.origin: 显示侵入式广告的木马程序。Android.HiddenAds 家族的木马通常伪装成普通应用进行传播，某些情况下依靠其他恶意软件安装到系统目录。进入安卓设备后这些广告软件木马通常会隐藏自身在系统中的存在，如隐藏自己在主屏幕菜单中的图标。
Android.Packed.57.origin: 侦测混淆器，该混淆器用于保护恶意应用程序（如某些版本的银行木马 Android.SpyMax）。
Android.Click.1812: 侦测恶意Whats App Messenger修改版，这些修改版在用户不知情的情况下在后台加载各种网站。

最常见的不良软件

Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.FakeMoney.11: 侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积，称积累到一定的金额就可用“提现”，但实际上用户根本不可能得到任何付款。
Program.CloudInject.5
Program.CloudInject.1: 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.SnoopPhone.1.origin: 一种用于监控安卓设备用户的程序，可读取短信、获取通话信息、追踪设备位置并录制音频。

最常见的风险程序

Tool.Obfuscator.TrashCode.1
Tool.Obfuscator.TrashCode.2: 使用黑客工具篡改并注入恶意代码的安卓应用。进行篡改的目的是混淆程序逻辑，此技术常见于银行木马和盗版软件。
Tool.NPMod.3
Tool.NPMod.1: 使用工具NP Manager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。所添加的混淆技术通常用于增加恶意软件的侦测分析难度。
Tool.LuckyPatcher.2.origin: 一种能够修改已安装安卓应用（为其创建补丁）的工具，功能是改变其运行逻辑或绕过某些限制。例如，用户可借助此工具尝试禁用银行应用对ROOT权限的侦测，或在游戏中获取无限资源。该工具会从网络下载专门编写的脚本来创建补丁，而这些脚本可由任何用户编写并上传至公共数据库。此类脚本可能包含恶意功能，因此生成的补丁可能具有潜在风险。

最常见的广告软件

Adware.Bastion.1.origin: 侦测会定期创建误导性通知的所谓优化程序，这些通知谎称内存不足或存在系统错误，其目的是在所谓“优化”过程中显示广告。
Adware.AdPush.3.origin: 一类可嵌入安卓应用的广告模块，通过展示容易误导用户的通知进行广告推送，如将广告伪装成操作系统通知的样式。此外，这些模块还能收集多种敏感数据，并具备下载其他应用并静默触发其安装的能力。
Adware.Opensite.15: 伪装成游戏作弊工具的应用，实际功能是投放广告。这些程序会从远程服务器接收配置信息，然后加载带有广告的目标网站，包括横幅广告、弹出式广告、视频广告等等。
Adware.Fictus.1.origin: 嵌入到热门安卓游戏和应用的克隆版本一种广告模块，利用名为net2share的专用打包工具集成到程序。嵌入广告模块的软件副本通过各种应用目录传播，一旦安装到设备就会显示垃圾广告。
Adware.Airpush.7.origin: 嵌入在安卓应用中的软件模块，用于显示各种广告。不同版本和变种所显示的广告可以是通知、弹出窗口或横幅广告。攻击者通常利用这些模块传播恶意软件，诱使用户安装特定软件。这些模块还会将各种机密信息传输到远程服务器。

Google Play中的威胁

2026年第一季度，我公司反病毒分析师在Google Play目录中再次发现擅自为用户订阅付费服务的 Android.Joker 家族木马。这些木马程序隐藏在多个安卓优化工具中，还伪装成即时通讯软件、多媒体应用和其他软件进行传播，总下载量至少达37万次。

2026年第一季度在GooglePlay侦测到的 Android.Joker 恶意软件示例。嵌入 Android.Joker.2511 的是即时通讯软件PrivateChatMessage，嵌入 Android.Joker.2524 的是相机应用MagicCamera

此外，我们的恶意软件分析师还侦测到恶意软件 Android.Subscription.23 和 Android.Subscription.24，功能是为订阅付费服务。这些木马程序会加载一些网站，利用Wap Click技术激活付费移动订阅。这些网站会请求用户提供手机号码，然后尝试自动接通相关服务。这两款恶意应用在Google Play的总下载量已超过150万次。.

Android.Subscription.23 和 Android.Subscription.24 恶意软件伪装成个人理财应用程序Stream Hive和PrimeLink进行传播，但其唯一的功能是加载网站，为安卓设备用户接通付费移动服务

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

Doctor Web：2026年第一季度病毒活动综述

Wed, 01 Apr 2026 00:00:00 GMT

2026.04.01

Dr.Web产品侦测统计信息显示，2026年第一季度侦测到的威胁总数与去年第四季度相比下降6.77%。独特威胁的数量下降11.98%。最常见的恶意软件类型是不良广告软件、广告木马、恶意软件下载器以及后门程序。

电子邮件流量中最常侦测到的是恶意脚本、后门程序和各种木马程序。此外，漏洞利用程序和钓鱼文件也在通过电子邮件传播。

受到勒索软件感染的用户最常遭遇的加密器是 Trojan.Encoder.35534、Trojan.Encoder.29750 和 Trojan.Encoder.41868。

我公司互联网分析师在2026年第一季度发现了一些新的钓鱼网站，是假冒信贷机构和网店的网站及其他一些不良网站。

移动设备威胁方面主要动态是银行木马活动有所增加，同时我们的病毒分析师还注意到，一种通过在恶意软件中添加垃圾代码来逃避反病毒软件侦测的方法越来越常见。

1月份我公司通报了利用机器学习和视频流来仿真用户网站点击行为的 Android.Phantom 点击器木马。此外，在过去的三个月里，我们侦测到Google Play商店出现新的恶意软件，其中有的是为用户订阅付费服务的木马。

第一季度主要趋势

在受保护设备侦测到的威胁数量减少
侦测到的独特威胁数量减少
与前三个月相比，文件被勒索软件加密的用户的解密申请数量减少
针对安卓设备的银行木马活动持续增加
用户受到 Android.Phantom 点击器恶意软件的威胁，该恶意软件可利用机器学习等技术手段增加网站点击量
在应用商店Google Play侦测到新的恶意软件

Doctor Web统计服务收集的数据

2026年第一季度最常见威胁：

Trojan.Siggen31.34463: 用Go编程语言编写的木马程序，专门用于向目标系统植入各类挖矿工具和广告软件。为DLL文件形式，存储路径为 %appdata%\utorrent\lib.dll。木马利用torrent客户端uTorrent的DLL搜索顺序劫持漏洞来进行启动。
Adware.Downware.20655
Adware.Downware.20766: 广告软件，是安装盗版程序过程中用到的中间环节程序。
Trojan.BPlug.4268: 侦测浏览器插件WinSafe的恶意组件。该组件是一个JavaScript脚本，会在浏览器不断显示广告。
Adware.Siggen.33379: 假冒的浏览器广告拦截器AdblockPlus，由其他恶意应用程序安装到系统，用于显示广告。

邮箱流量恶意程序统计数据

2026年第一季度邮箱流量中最常见的威胁：

JS.DownLoader.1225: 启发式分析仪侦测到的ZIP压缩文件，其包含的JavaScript脚本名称可疑。
W97M.DownLoader.2938: 利用MicrosoftOffice文档漏洞的木马下载器家族，功能是将其他恶意软件下载到受攻击的计算机。
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: MicrosoftOffice漏洞利用程序，可执行任意代码。
JS.Redirector.514: 一种恶意脚本，功能是将用户重定向到攻击者所控制的网页。

加密器

2026年第一季度勒索木马受害者的文件解密申请量较去年第四季度减少31.51%。网络攻击事件减少主要是在新年假期，可能是一些网络犯罪分子暂停了活动，而且，假期也可能让用户未能马上发现已遭受勒索软件攻击。

Doctor Web公司技术支持部门接收到的解密申请量动态：

2026年第一季度最常见的加密器：

Trojan.Encoder.35534—占用户申请的15.59%
Trojan.Encoder.29750—占用户申请的3.23%
Trojan.Encoder.41868—占用户申请的3.23%
Trojan.Encoder.26996—占用户申请的1.62%
Trojan.Encoder.44383—占用户申请的1.61%

网络诈骗

我公司网络分析团队在过去的三个月发现新的虚假网购平台网站。诈骗分子在这些网站“出售”所谓未付款订单。诈骗手法如下：将所谓订单“未收货”商品按类别（电子产品、服装、鞋子、化妆品等）分类，装入相应的盲盒，声称盲盒中可能是很贵重的物品。这些盒子以相对较低的价格出售，这正是其主要诈骗手段所在。

一个声称“订单”无人认领商品清仓处理的假冒购物平台

用户选中其中一个盲盒后，系统会提示他们下单并提供个人信息，包括姓名、手机号码和电子邮件地址。之后，用户会被重定向到快速支付系统(FPS)的支付页面。最终，受害者不仅损失了金钱，还将个人信息泄露给了骗子。

受害者下单会被要求通过快速支付系统付款

我们的专家还发现许多提供各种金融服务的网站，例如快速获得小额贷款、普通贷款或协助办理破产流程。这些网站并非如用户预期的那样直接提供服务，而是充当客户和金融机构之间的中介，并会收取一定的费用，让用户能浏览到一系列可能合适的选项，而实际上类似的金融产品信息汇总完全可以通过免费的渠道获取。此外，这些网站并不保证用户能申请成功，用户支付的费用并非一次性支付，而是付费订阅，会定期从用户账号扣费。

让用户通过付费订阅来选择自己感兴趣的金融产品的网站示例

某些情况下，这类网站还可能会误导用户，表面上是提供就业服务，而实际上提供的是让用户可访问贷款、小额贷款等金融产品的收费订阅。

网站表面是提供求职帮助，但用户付费后看到的并非招聘信息，而是来自网站合作伙伴的金融产品，如贷款、小额贷款和其他类似服务。

在第一季度发现的钓鱼网站中有一些是冒充“绿色马拉松”慈善赛的虚假网站。这些网站诱导用户注册参加马拉松，但实际上与赛事无关，目的是窃取用户的隐私信息。

“绿色马拉松”虚假网站示例

我公司网络分析师再次发现虚假的投资服务网站，这些网站声称与多家信贷机构有关联。其中一些虚假网站分别针对的是俄罗斯、哈萨克斯坦和其他国家的用户。诈骗分子承诺会获得高额回报，但“访问”这些虚假的投资平台需要先填写一份简短的调查问卷并注册包含个人信息的账户。

攻击者冒充俄罗斯某银行投资服务官方资源的钓鱼网站示例

攻击者冒充哈萨克斯坦某信贷机构投资服务官方资源的钓鱼网站示例

了解Dr.Web不建议访问网站更多详情

移动设备恶意软件和不良软件

根据Dr.Web Security Space移动设备保护产品的侦测统计数据，去年第四季度观察到的 Android.Banker 银行木马活动增加的趋势在2026年第一季度得以延续，其中最常见的是 Android.Banker.Mamont 子家族成员。与此同时，Android.MobiDash 和 Android.HiddenAds 广告木马的侦测数量再次下降

风险程序中最多是是是使用修改工具注入垃圾代码的程序（侦测为 Tool.Obfuscator.TrashCode）。这种技术目前被广泛用于银行木马，目的是逃避反病毒软件的侦测。此外，使用NPManager工具修改的应用程序（侦测为 Tool.NPMod）也仍常见。

最常见的不良软件是伪装成杀毒软件的 Program.FakeAntiVirus，要求用户购买完整版才能“处理”其侦测到的所谓威胁。第一季度最活跃的广告软件是 Adware.Bastion.1.origin 和 Adware.Opensite.15。前者是所谓的优化应用，会生成内存不足和系统出现错误的通知，目的是在所谓的“优化”过程中展示广告。后者伪装成游戏作弊程序，声称可以获取各种游戏资源，但实际上只会加载广告网站。

2026年1月我们的反病毒实验室曾通报 Android.Phantom 点击器木马程序所存在风险。这类恶意应用利用机器学习和视频流技术来仿真用户的网站点击。网络犯罪分子通过多种渠道来传播这些程序，包括小米设备的Get Apps应用商店、Telegram频道、Discord服务器、第三方软件分发渠道以及恶意网站。

过去三个月，我公司病毒分析师在Google Play应用商店发现新威胁，包括木马程序 Android.Joker 和 Android.Subscription，功能是为用户订阅付费服务。

第一季度主要移动安全事件：

银行木马 Android.Banker 成为安卓设备最常见的威胁
网络犯罪分子越来越频繁使用安卓应用修改工具来增强银行木马逃避杀毒软件侦测的能力
广告木马 Android.MobiDash 和 Android.HiddenAds 的活动持续下降
用户受到木马 Android.Phantom 的威胁，这类木马利用机器学习和视频流来操纵网站点击量
恶意应用仍在通过Google Play传播

2026年第一季度份移动威胁更多详情请参阅移动威胁综述。

Dr.Web 个人电脑保护解决方案荣获赛可达优秀产品奖（SKD AWARDS）

Thu, 26 Mar 2026 17:33:42 GMT

Dr.Web个人电脑保护解决方案Dr.Web Security Space再度荣获赛可达行业奖（SKD AWARDS），被评为“PC端反病毒产品”类别最佳产品。

这已是“Doctor Web”公司连续第三年获得此类殊荣。2023年，用于保护Windows电脑的Dr.Web Security Space 12.0摘得“个人电脑安全”类别桂冠；2024年，此个人电脑反病毒解决方案再次荣膺最佳，而Dr.Web Mobile Engine SDK也同时在“反病毒引擎”类别中胜出。

SKD AWARDS是由全球知名的信息安全测试与认证独立实验室——赛可达实验室（SKD Labs）主办评测的年度奖项，常被誉为“网络安全产品界的奥斯卡”，是评估专业产品效能的重要标杆之一。

在评审过程中，参评产品需经过一系列测试，获得功能、性能、技术创新、真实场景表现、威胁侦测能力及响应能力上的全面评估。

迎马年新春特惠！Dr.Web Security Space 两年授权限时优惠30%！

Fri, 13 Feb 2026 16:58:16 GMT

为庆祝中国春节并感谢广大用户的支持，我公司诚意推出节日特惠活动！2026年2月13日至24日期间，购买反病毒全面保护解决方案 Dr.Web Security Space（1台电脑，2年授权）享有限时特别折扣！

活动条件：

产品： Dr.Web Security Space，1台电脑24个月授权。
建议零售价： ¥171
活动特价： ¥119.70
所得优惠：节省 30%！

如何获得折扣？

活动期间于我官网线上商店下单时输入促销代码 CHUNJIE26即可自动获得折扣！

为什么要选择 Dr.Web Security Space？

这是一个为您的电脑提供全面保护的「防护罩」，不仅有经典的防病毒入侵功能，还拥有：

父母控制功能，保障未成年人的上网安全。
阻断网页广告及垃圾邮件的功能。

愿新的一年里您的数字世界坚不可摧、安全无虞！也祝各位用户丙午马年万事如意、马到成功，安心畅享网络空间！
折扣良机不可错失，快来让您的电脑未来两年都能获得可靠的全面保护吧！

活动有效期：2026年2月13日至2月24日（含首尾两日）。

Android.Phantom家族木马通过游戏和盗版热门应用感染智能手机并利用机器学习和视频流来操纵点击

Tue, 03 Feb 2026 00:00:00 GMT

2026年02月03日

Doctor Web反病毒实验室发现一种新型的点击器木马并对其进行了分析。这些木马有一个共同的特点：或者是由服务器 hxxps[:]//dllpgd[.]click 直接控制，或者是按照该服务器的命令进行下载并执行。这类恶意软件感染的是安卓智能手机。

木马传播渠道之一是小米设备的官方应用目录GetApps。

我们已发现有多款手机游戏内含恶意软件：CreationMagicWorld（下载量超过32,000次）、CutePetHouse（下载量超过34,000次）、AmazingUnicornParty（下载量超过13,000次）、SakuraDreamAcademy（下载量超过4,000次）、TheftAutoMafia（下载量超过61,000次）和OpenWorldGangsters（下载量超过11,000次）。所有被感染的游戏均开发商都是SHENZHENRUIRENNETWORKCO.,LTD，木马程序嵌入这些应用并与其一同运行。

这些游戏的最初版本都不含恶意软件。9月28日至29日，该开发商发布了包含的游戏更新则嵌入有木马程序 Android.Phantom.2.origin。该木马程序有两种运行模式，程序代码中分别称为“信号模式（signaling）”和“幻影模式（phantom）”。

该恶意软件在幻影模式下使用的是用户看不到的基于WebView组件的嵌入式浏览器。在收到来自 hxxps[:]//playstations[.]click 服务器的指令后，木马会加载要增加点击量的目标网站和名为 “phantom”的JavaScript文件。后者包含一个用于对已加载网站广告自动执行操作的脚本以及TensorFlowJS机器学习框架。此框架的模型是从 hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com 服务器加载到应用程序目录。在某些特定类型的广告场景下，Android.Phantom.2.origin 会将浏览器置于虚拟屏幕并进行截屏。木马使用TensorFlowJS模型分析这些屏幕截图后点击发现的元素。

在另一种模式，也就是信号模式下，木马利用WebRTC连接到第三方服务器。这中技术可以让浏览器和应用直接建立连接，实时交换数据、音频和视频，无需安装额外的软件。在信号模式下，上面提到的hxxps[:]//dllpgd[.]click充当信号服务器，在WebRTC节点之间建立连接。这个服务器还会决定木马的运行模式。包含目标网站的任务来自 hxxps[:]//dllpgd[.]click 充当信号服务器，在WebRTC节点之间建立连接。这个服务器还会决定木马的运行模式。包含目标网站的任务来自 hxxps[:]//playstations[.]click。然后，Android.Phantom.2.origin 会暗中将浏览器所加载网站的虚拟屏幕传输给攻击者。木马让连接的WebRTC节点远程控制虚拟屏幕的浏览器，包括进行点击、滚动、输入或将文本粘贴到输入框。

10月15/16日上述游戏再次更新。除了 Android.Phantom.2.origin，这次更新还增加了模块 Android.Phantom.5。这个模块是一个投放器，其中包含远程代码加载器 Android.Phantom.4.origin，可下载其他几个用于模拟用户在各种网站点击行为的木马。这些模块要比点击器 Android.Phantom.2.origin简单，没有运用机器学习或视频流，而只是使用JavaScript点击脚本。

木马在安卓设备使用WebRTC技术需要连接到一个特殊的JavaAPI库，标准操作系统或下载的应用程序并不包含。因此，木马最初主要以幻影模式运行。而加入模块 Android.Phantom.5 后，木马 Android.Phantom.2.origin 获得了使用远程代码加载器 Android.Phantom.4.origin 下载所需库的能力。

攻击者还利用其他渠道传播木马 Android.Phantom.2.origin 和 Android.Phantom.5。其中有音乐流媒体Spotify已解锁高级功能的修改版，托管于多个网站。以下是一些示例：

网站SpotifyPlus

网站SpotifyPro

专门的Telegram频道中也有这个恶意版本存在：

SpotifyPro(54400粉丝)

SpotifyPlus–Official(15057粉丝)

截图中的网站和Telegram频道所托管的Spotify修改版包含 Android.Phantom.2.origin 以及用于AndroidWebRTC通信的库。

除了Spotify修改版，攻击者还在其他热门应用（例如YouTube、Deezer、Netflix等）的修改版中植入了木马，托管于一些盗版网站：

网站Apkmody

网站Moddroid

网站Moddroid有一个“编辑精选”专区。在列出的20个应用中，只有4个是安全的，其余16个都含有木马 Android.Phantom。这两个网站上的应用都来自同一个CDN服务器 hxxps[:]//cdn[.]topmongo[.]com。这些网站都有自己的Telegram频道，用户在这些频道下载的是感染了木马的版本：

Moddroid.com（87653粉丝）

ApkmodyChat（6297粉丝）

犯罪分子还利用Discord服务器进行非法活动。其中规模最大的是SpotifyX，拥有约24,000名订阅者。

Discord服务器管理员甚至在不加掩饰地直接提供感染病毒的版本。例如，在上面的截图中，服务器管理员建议下载音乐流媒体修改版Deezer，而不是Spotify，称Spotify已经停止运行。使用图中链接下载的是恶意版本，其代码受商业打包软件的保护，里面藏着的是木马 Android.Phantom.1.origin。这是一个远程代码加载器，在收到来自 hxxps[:]//dllpgd[.]click 服务器的指令后会下载我们在上面介绍过的 Android.Phantom.2.origin、Android.Phantom.5 和间谍软件 Android.Phantom.5.origin。这个间谍软件会将设备信息发送给攻击者，包括电话号码、地理位置和已安装应用的列表。

这张服务器截图显示的是被感染设备用所户使用的语言。要访问非英语聊天，用户需选择相应的语言标志。受影响最多的用户所使用的语言位西班牙语、法语、德语、波兰语和意大利语，当然还有服务器语言英语。同时需要注意的是，服务器管理员并没有为很多亚洲国家/地区提供本土语言聊天的功能。

这些木马会给被感染设备的用户造成严重损害。以下是一些可能的后果：

无意中成为帮凶。被感染手机可能被用做进行DDoS攻击的僵尸，使用户在不知情的情况下成为网络犯罪的帮凶。
非法活动。攻击者可以利用被感染设备进行非法网络活动，如进行诈骗活动或发送垃圾邮件。
电池和流量消耗增加。未经授权的活动会消耗电池电量并消耗网络流量。
个人数据泄露。 Android.Phantom.5.origin 是一种间谍软件，可以传输有关设备及用户的数据。

此类木马病毒对未安装最新反病毒软件的安卓移动设备用户构成威胁。目前俄罗斯用户在注册外国应用或支付订阅费用时会受到，促使他们寻求其他途径（通常是半合法途径）来获取这些公司的服务。这正中病毒编写者的下怀，因为用户要被迫承担风险并信任可疑的选项。对网络安全知之甚少而一心只想玩游戏、听音乐或看视频的未成年人尤其容易成为受害者。

我们建议您不要从可疑的网站和渠道下载任何盗版应用。通常，验证修改版或应用的来源需要时间、经验和专业知识。因此，确保您和您家人的网络安全的最佳选择是使用Dr.WebSecuritySpace移动设备保护版，可以保护的不仅是您的智能手机，还可以保护其他智能设备，包括游戏机、平板电脑和智能电视。

失陷指标
 Android.Phantom.1.origin 更多详情
Android.Phantom.2.origin 更多详情
Android.Phantom.3 更多详情
Android.Phantom.4.origin 更多详情
Android.Phantom.5 更多详情
Android.Phantom.5.origin 更多详情

DoctorWeb：2025年第四季度移动设备病毒活动综述

Mon, 12 Jan 2026 00:00:00 GMT

2026.01.12

根据移动设备保护产品Dr.WebSecuritySpace的侦测统计，2025年第四季度侦测最多的是会不断显示广告的广告木马 Android.MobiDash 和 Android.HiddenAds，但与上一季度相比活跃程度有所变化：前者在受保护设备上的侦测率降低了43.24%，后者降低了18.06%。紧随其后的是Android.Siggen家族木马，族包含具有不同功能的恶意应用程序，侦测率也略有降低，为27.47%。

与此同时，银行木马的活动显著增加，用户遭遇率增加了65.52%，增长主要是因 Android.Banker 家族木马的传播。这些恶意程序会拦截用于确认银行交易的一次性验证码短信，还可以模仿合法银行软件的外观并显示钓鱼窗口。

不良程序中最常见的是经CloudInject云服务修改后的安卓应用程序（Dr.Web反病毒软件将其侦测为 Program.CloudInject）。该服务用于向应用程序添加危险的系统权限和混淆代码，导致应用程序的功能无法控制。此外，还经常侦测到一些虚假的杀毒软件，例如Program.FakeAntiVirus，这类软件会侦测到并不存在的威胁，并欺骗用户购买完整版本才能“清除”威胁；还有一种是 Program.FakeMoney，这类软件谎称用户通过完成各种任务可以赚钱。

第四季度最常见的风险软件是 Tool.NPMod，是使用NP Manager工具修改过的应用程序。这个工具会混淆修改后的代码，并添加一个特殊模块，让修改后的应用能够绕过数字签名验证。在广告应用方面，属于Adware.Adpush 家族的仍然最多，是开发者可嵌入到软件中显示广告通知的特殊软件模块。

10月份，我公司专家通报了危险的后门程序 Android.Backdoor.Baohuo.1.origin，攻击者将其嵌入到TelegramX即时通讯软件的非官方修改版中，并通过恶意网站和第三方安卓应用商店进行传播。这个恶意软件会窃取Telegram帐户的登录名和密码以及其他敏感数据。此外，还让网络犯罪分子能够控制受害者的账户，并暗中以受害者名义执行各种操作，如订阅或退出Telegram频道、隐藏新授权的设备、隐藏特定消息等等。Android.Backdoor.Baohuo.1.origin 可通过Redis数据库进行控制的，这是此前安卓威胁中从未出现过的功能。该后门总共感染了约58,000个设备，包括约3,000种不同型号的智能手机、平板电脑、电视机顶盒以及搭载安卓车载电脑的汽车。

在过去一个季度中，我公司的反病毒实验室在Google Play目录中侦测到了新的恶意软件，包括为受害者注册付费服务的木马 Android.Joker 以及用于欺诈活动的各种伪造程序 Android.FakeApp。这些程序的总下载量至少为263,000次。

第四季度主要移动安全事件：

广告木马仍然是最常见的安卓威胁
银行木马攻击有所增加
嵌入在TelegramX的修改版中的危险后门程序 Android.Backdoor.Baohuo.1.origin 正在传播
GooglePlay目录再次出现新威胁

最常见的恶意软件

Android.MobiDash.7859: 显示烦人广告的木马程序，是一个软件模块，软件开发人员可将其嵌入到应用程序中。
Android.FakeApp.1600: 能够下载其设置中指定的网站的木马，已知变种加载的是在线赌场。
Android.Click.1812: 侦测恶意WhatsApp Messenger修改版，这些修改版在用户不知情的情况下在后台加载各种网站。
Android.Packed.57.origin: 侦测混淆器，该混淆器用于保护恶意应用程序（如某些版本的银行木马 Android.SpyMax）。
Android.Triada.5847: 侦测用于保护木马免受分析和侦测的 Android.Triada 木马加壳程序。攻击者通常将其与直接嵌入了木马的恶意Telegram通讯模块结合使用。

最常见的不良软件

Program.CloudInject.5
Program.CloudInject.1: 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.FakeMoney.11: 侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积，称积累到一定的金额就可用“提现”，但实际上用户根本不可能得到任何付款。
Program.SnoopPhone.1.origin: 一中用于监控安卓设备用户的程序，可读取短信、获取通话信息、追踪设备位置并录制音频。

最常见的风险程序

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.1.origin: 使用工具NP Manager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.LuckyPatcher.2.origin: 一种能够修改已安装安卓应用（为其创建补丁）的工具，功能是改变其运行逻辑或绕过某些限制。例如，用户可借助此工具尝试禁用银行应用对ROOT权限的侦测，或在游戏中获取无限资源。该工具会从网络下载专门编写的脚本来创建补丁，而这些脚本可由任何用户编写并上传至公共数据库。此类脚本可能包含恶意功能，因此生成的补丁可能具有潜在风险。
Tool.Androlua.1.origin: 使用Lua脚本编程语言的安卓程序开发专用框架的多个危险版本。Lua应用程序的主要逻辑位于相应的脚本中，这些脚本在执行前由解释器进行加密和解密。通常此框架会请求提供各种系统权限，这样通过其执行的Lua脚本会根据得到的权限执行不同的恶意操作。

最常见的广告软件

Adware.AdPush.3.origin
Adware.Adpush.21846: 一类可嵌入安卓应用的广告模块，通过展示容易误导用户的通知进行广告推送，如将广告伪装成操作系统通知的样式。此外，这些模块还能收集多种敏感数据，并具备下载其他应用并静默触发其安装的能力。
Adware.Bastion.1.origin: 侦测会定期创建误导性通知的所谓优化程序，这些通知谎称内存不足或存在系统错误，其目的是在所谓“优化”过程中显示广告。
Adware.Airpush.7.origin: 嵌入在安卓应用中的软件模块，用于显示各种广告。不同版本和变种所显示的广告可以是通知、弹出窗口或横幅广告。攻击者通常利用这些模块传播恶意软件，诱使用户安装特定软件。这些模块还会将各种机密信息传输到远程服务器。
Adware.ModAd.1: WhatsAppMessenger的某些修改版，内含代码可在使用Messenger时通过网络图片加载指定链接，利用这些地址重定向到广告网站，例如在线赌场和博彩公司、成人网站。

GooglePlay中的威胁

2025年第四季度，我公司反病毒分析师在Google Play目录中发现超过20个属于 Android.Joker 家族的木马程序，功能是擅自为用户订阅付费服务。这些木马伪装成各种软件进行传播，包括即时通讯工具、各类系统优化工具、图像编辑软件、电影播放器等等。

侦测到的 Android.Joker 恶意软件示例。Android.Joker.2496 伪装成用于“清理垃圾”的手机工具Useful Cleaner，而另一个变种 Android.Joker.2495 则伪装成电影播放器Reel Drama

我们的专家还发现了几个属于 Android.FakeApp 家族的新的虚假应用。与之前一样，其中一些是伪装成金融应用来加载欺诈网站。另一些则伪装成游戏。在特定条件下（如用户的IP地址符合攻击者的要求），会加载博彩网站和在线赌场网站。

游戏“Chicken Road Fun”实际上是伪造程序 Android.FakeApp.1910，所谓功能只是幌子，加载的是一个在线赌场网站。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

Doctor Web：2025年第四季度病毒活动综述

Mon, 12 Jan 2026 00:00:00 GMT

2026.01.12

Dr.Web产品侦测统计信息显示，2025年第四季度侦测到的威胁总数与第三季度相比增长了 16.05%。独特威胁的数量下降了 1.13%。最常见的恶意软件类型是不良广告软件、恶意脚本以及各种恶意软件程序，包括下载器和广告木马。

电子邮件流量中最常侦测到的是木马程序，包括下载器、密码窃取程序和投放器。此外，漏洞利用程序、后门程序和各种恶意脚本也再通过电子邮件传播。

受到勒索软件感染的用户最常遭遇的加密器是 Trojan.Encoder.35534、Trojan.Encoder.41868 和 Trojan.Encoder.29750。

10 月份，我们通报了一个针对安卓设备的后门程序 Android.Backdoor.Baohuo.1.origin，网络犯罪分子将其嵌在即时通讯软件Telegram X是修改版中。这个恶意软件会窃取 Telegram 帐户的登录名和密码以及其他机密数据。病毒编写者利用这个后门可管理被黑受害者的账户，还能完全控制即时通讯软件本身，以用户身份执行各种操作。

11 月，我公司反病毒实验室发布了一项研究报告，分析了 Cavalry Werewolf 黑客组织对俄罗斯政府机构发起的定向攻击。在分析过程中，Doctor Web 的专家识别出攻击者在其攻击活动中所使用的众多恶意工具，其中包括一些开源工具。我们对该组织的特征及其在受感染网络中的典型行为也进行了分析。

12 月，我公司官网发布专门介绍名为 Trojan.ChimeraWire 的独特木马的材料。该木马通过伪装真人用户操作来提升网站的访问量，规避反机器人机制的拦截，会根据攻击者提供的参数，在搜索引擎中自动搜索相关网站并在打开点击网页。有多个恶意应用程序可将Trojan.ChimeraWire 注入计算机，这些应用程序利用的是 DLL 搜索顺序劫持漏洞，并使用反调试技术来逃避侦测。

第四季度，我公司互联网分析团队发现了一些承诺潜在受害者可以快速轻松地赚钱的新诈骗网站。此外，还发现一些钓鱼网站和假冒网店的虚假网站。

同时，我们的专家在 Google Play 应用商店中发现新恶意软件，包括为安卓设备用户订阅付费服务的Android.Joker 木马以及用于实施各种诈骗活动的恶意应用Android.FakeApp。而Dr.Web Security Space移动设备保护产品的侦测统计数据则显示，针对安卓平台的银行木马活动有所增加。

第四季度主要趋势

在受保护设备侦测到的威胁数量增加
进攻所使用的独特新威胁数量下降
被勒索软件感染的文件解密请求增加
针对安卓设备用户的银行木马活动增多
入侵安卓用户的 Telegram 帐户的后门程序Android.Backdoor.Baohuo.1.origin正在传播
Google Play出现新威胁

Doctor Web统计服务收集的数据

2025年第四季度最常见威胁：

Trojan.Siggen31.34463: 用Go编程语言编写的木马程序，专门用于向目标系统植入各类挖矿工具和广告软件。为DLL文件形式，存储路径为%appdata%\utorrent\lib.dll。木马利用 torrent 客户端 uTorrent 的 DLL 搜索顺序劫持漏洞来进行启动。
Adware.Downware.20091: 广告软件，经常用于盗版软件的中转安装器。
VBS.KeySender.7: 恶意脚本，无限循环搜索带有文本mode extensions、разработчика 和 розробника的窗口，并向其发送Escape 按钮被按事件，迫使窗口关闭。
Trojan.BPlug.4268: 侦测浏览器插件WinSafe的恶意组件。该组件是一个 JavaScript 脚本，会在浏览器不断显示广告。
Adware.Siggen.33379: 假冒的浏览器广告拦截器Adblock Plus，由其他恶意应用程序安装到系统，用于显示广告。

邮箱流量恶意程序统计数据

2025年第四季度邮箱流量中最常见的威胁：

W97M.DownLoader.2938: 利用 Microsoft Office文档漏洞的木马下载器家族，功能是将其他恶意软件下载到受攻击的计算机。
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Microsoft Office 漏洞利用程序，可执行任意代码。
Trojan.AutoIt.1413: 侦测木马 Trojan.AutoIt.289的打包版本，该木马使用 AutoIt 脚本语言编写，与其他恶意应用程序（包括挖矿程序、后门程序和自传播模块）捆绑在一起传播。Trojan.AutoIt.289 能够执行各种恶意操作，目的是增加主要有效恶意载荷的侦测难度。
JS.Phishing.791: 在系统安装有效负载的恶意 JavaScript 脚本。

加密器

2025年第四季度勒索木马受害者的文件解密申请量较第三季度上升1.15%。

Doctor Web公司技术支持部门接收到的解密申请量动态：

2025年第四季度最常见的加密器：

Trojan.Encoder.35534 — 占用户申请的24.90%
Trojan.Encoder.41868 — 占用户申请的4.21%
Trojan.Encoder.29750 — 占用户申请的3.42%
Trojan.Encoder.26996 — 占用户申请的2.68%
Trojan.Encoder.30356 — 占用户申请的0.38%

网络诈骗

2025年第四季度，我公司网络分析师注意到有一些新的虚假网店出现。诈骗分子冒充平台诱骗潜在受害者参与类似轮盘赌的“旋转木马”游戏，声称有机会赢取奖品。经过多次尝试后，用户会“幸运”中奖，但领取奖金必须先支付运费，然后是保险费、税费等等。在某些情况下，受害者会被告知想要的商品缺货，并建议兑换成现金。然而拿到现金也必须支付一笔“手续费”。如果用户同意，还会被要求支付其他费用，例如保险费、账户激活费等等。

一个提供“赠品”的虚假购物网站示例

不建议网站和恶意网站的数据库还新增了一些诈骗分子出售虚假剧院门票的在线资源。这些网站提供热门剧目的门票，价格通常都很诱人。然而，付款后，受害者根本收不到想要的门票，实际上是把钱拱手打给了骗子。

一个出售根本不存在的电影票的诈骗网站。

此外，还发现了一些模仿私人影院网站并提供电影票的资源。受害者在这些网站购买电影票也不会拿到什么电影票。

虚假私人影院网站

我们的专家发现了一些网络钓鱼资源，其中包括虚假的直播网站。攻击者利用这些网站诱骗用户输入用户名和密码进行身份验证，试图借此获取用户帐户信息。

一个通过模仿直播网站诱骗潜在受害者登录账户的钓鱼网站

此外，诈骗分子再次引诱潜在受害者参与所谓的投资项目。其中一个网站建议美国的俄语用户将250美元投资给一个名为Federal Invest（“联邦投资”）的项目，并声称“三个月内最高可赚取9万美元”，还谎称该项目有唐纳德•特朗普等人参与创建。

一个声称有机会参与“高收益投资项目” 的诈骗网站

另一个网站则欺骗乌兹别克斯坦用户加入其宣传的所谓由一家大型控股公司参与的项目后，第一个月内即可获得高达 1500 万乌兹别克斯坦卢布的收益。

一个承诺乌兹别克斯坦居民参与“投资项目”即可获得巨额利润的诈骗网站。

了解Dr.Web不建议访问网站更多详情

移动设备恶意软件和不良软件

根据移动设备保护产品Dr.WebSecuritySpace的侦测统计，2025年第四季度侦测最多的是会不断显示广告的广告木马Android.MobiDash和Android.HiddenAds，紧随其后的是Android.Siggen家族木马。过去的三个月中银行木马的活动显著增加，其中增长最多的是Android.Banker家族木马。

不良程序中最常见的是经CloudInject云服务修改后的安卓应用程序（Dr.Web反病毒软件将其侦测为Program.CloudInject）。最常见的风险软件是Tool.NPMod，是使用NP Manager工具修改过的应用程序。广告应用中最多的仍是可嵌入到软件中Adware.Adpush。

10月份，我公司专家通报了危险的后门程序Android.Backdoor.Baohuo.1.origin，攻击者将其嵌入到TelegramX即时通讯软件的非官方修改版中。这个恶意软件会窃取Telegram帐户的登录名和密码以及其他敏感数据。此外，还让网络犯罪分子能够控制受害者的账户，并可直接控制即时通讯软件，更改其运行逻辑。

在过去一个季度中，我公司的反病毒实验室在Google Play目录中侦测到了新的恶意软件，包括为受害者注册付费服务的木马Android.Joker以及用于欺诈活动的各种伪造程序Android.FakeApp。

第四季度主要移动安全事件：

广告木马仍然是最常见的安卓威胁
Android.Banker 银行木马攻击有所增加
嵌入在TelegramX的修改版中的危险后门程序Android.Backdoor.Baohuo.1.origin正在传播
GooglePlay目录再次出现新威胁

2025年第四季度份移动威胁更多详情请参阅移动威胁综述.

Dr.Web FixIt!许可协议更新!

Mon, 29 Dec 2025 14:04:35 GMT

我公司产品Dr.Web FixIt!的许可协议已更新，可打开https://license.drweb.com/agreement查看新版许可协议。

Dr.Web FixIt!用于对Windows操作系统工作站和服务器进行详细的安全分析，并解除侦测到的病毒威胁和潜在漏洞。产品主要优势在于能够发现其他网络安全工具不能侦测的最新恶意软件和定向攻击所使用的程序。

Dr.Web FixIt!首先面向的是监控计算机基础设施安全和分析网络安全事件的专业人员。但即便没有专门的SOC团队，也能利用这一解决方案诊断工作站和/或服务器存在的威胁，并在侦测到威胁后执行相应的解除操作。如需我公司专家可协助分析Dr.Web FixIt!所获取的信息。获取这样的技术支持需购买专家支持证书。

此解决方案可在我公司合作伙伴处购买。

击败怪物Chimera的贝勒罗丰做梦也想不到的事：木马ChimeraWire借模仿人类行为提升网站访问量

Mon, 08 Dec 2025 12:02:25 GMT

2025年12月8日

简介

在分析我公司的一个合作伙伴联盟计划的过程中，我们的专家发现了一种具有点击器功能的独特恶意软件并将其命名为Trojan.ChimeraWire。该恶意软件运行于Windows系统，其基础是用于自动管理网站和Web应用的开源码zlsgo和Rod程序。

攻击者利用Trojan.ChimeraWire模仿用户操作，人为提升网站的指标，目的是提高网站在搜索引擎的排名。恶意软件会在Google和Bing中搜索目标网站，然后将其打开，还会模仿用户操作，自动点击已加载网站的链接。该木马执行所有恶意操作利用的都是从特定来源下载并通过WebSocket协议以隐蔽调试模式运行的浏览器GoogleChrome。

Trojan.ChimeraWire传播到计算机的途径是通过多个恶意下载器。这些下载器利用DLL搜索顺序劫持漏洞，并采用各种提权技术以及反调试技术来逃避侦测。我们的反病毒实验室已追踪到至少两条涉及这些下载器的感染链。其中一条感染链的中心环节是恶意脚本Python.Downloader.208。另一条使用的则是恶意软件Trojan.DownLoader48.61444，该恶意软件的运行方式与Python.Downloader.208类似，实际上是其替代品。

本研究报告将分析Trojan.ChimeraWire及其感染用户计算机所利用的恶意软件的特征。

第一种感染链

第一种感染链的运行轨迹

第一条感染链从运行Trojan.DownLoader48.54600开始。这个木马会检查自身是否是在特殊合成的环境中运行，发现有虚拟机或调试模式的迹象就会终止运行。没有发现此类迹象时木马会从C2服务器下载ZIP压缩包python3.zip。压缩包包含恶意Python脚本Python.Downloader.208及其运行所需的辅助文件，具体来说就是恶意库ISCSIEXE.dll（Trojan.Starter.8377）。Trojan.DownLoader48.54600将压缩包解压缩并运行脚本。这个脚本是感染链的第二阶段，是一个下载器，会从C2服务器下载下一阶段所用的程序。

Python.Downloader.208的行为取决于其运行时所具备的权限。如脚本没有管理员权限，就会尝试获取管理员权限。具体方法是与其一起提取出的Trojan.Starter.8377会被复制到目录%LOCALAPPDATA%\Microsoft\WindowsApps。此外，还会创建脚本runs.vbs，用于之后重新启动Python.Downloader.208。

然后Python.Downloader.208会启动系统应用程序%SystemRoot%\SysWOW64\iscsicpl.exe。这个应用因存在DLL搜索顺序劫持漏洞会自动加载名称与Windows操作系统合法组件名称相同的木马库ISCSIEXE.dll

而Trojan.Starter.8377则会启动VBS脚本runs.vbs，利用这个脚本以管理员权限重新执行Python.Downloader.208。

获得所需权限后，Python.Downloader.208会从C2服务器下载受密码保护的压缩包onedrive.zip。压缩包包含实施下一阶段感染所使用的程序：恶意软件Trojan.DownLoader48.54318、名为UpdateRingSettings.dll的库文件以及必要的辅助文件（如与OneDrive软件相关的、具有有效数字签名的Windows合法应用OneDrivePatcher.exe）。

压缩包解压后，Python.Downloader.208会在系统任务计划器创建一个任务，以便在系统启动时运行OneDrivePatcher.exe。然后会启动这个应用程序。由于存在DLL搜索顺序劫持漏洞，该程序会自动加载其名称与OneDrive软件组件的名称匹配的恶意库UpdateRingSettings.dll。

获得控制权后，Trojan.DownLoader48.54318会检查自身是否是在合成环境下运行。如果发现任何在虚拟机或调试模式下运行的迹象，就会终止运行。

没有检测到此类迹象时木马会尝试从C2服务器下载有效载荷以及用于解密的加密密钥。

解密后的有效载荷是一个包含shellcode和可执行文件的ZLIB容器。解密容器后，Trojan.DownLoader48.54318会尝试将容器解压。如果解压失败，木马会将自身自行删除，终止感染。如解压成功，控制权就转移给shellcode，其任务是将随附可执行文件解压。而这个可执行文件就是感染过程的最后阶段——目标功能木马Trojan.ChimeraWire。

第一种感染链

第二条攻击链从运行恶意软件Trojan.DownLoader48.61444开始。启动后，这个恶意软件会检查是否具备管理员权限，没有就会尝试获取权限。木马使用MasqueradePEB技术将自身伪装成合法进程explorer.exe来绕过安全系统。

然后木马会给系统库%SystemRoot%\System32\ATL.dll的副本打补丁。具体操作是Trojan.DownLoader48.61444读取文件的内容，然后向其添加解密后的字节码和文件路径，并将修改后的版本在原目录保存为名为dropper的文件。之后，木马会为%SystemRoot%\System32\wbem服务和修改后的库进行WindowsshellCOM对象初始化。成功进行初始化后Trojan.DownLoader48.61444会尝试利用CMSTPLUACOM接口获取管理员权限，利用的是某些旧版COM接口中存在的漏洞。如漏洞利用成功，修改后的dropper库会以ATL.dll文件复制到目录%SystemRoot%\System32\wbem。Trojan.DownLoader48.61444随后会启动WMI系统管理单元WmiMgmt.msc，这个单元利用mmc.exe系统应用程序中的DLL搜索顺序劫持漏洞，自动加载带有补丁的%SystemRoot%\System32\wbem\ATL.dll库。之后，mmc.exe会重新启动Trojan.DownLoader48.61444，而且这次木马已具备管理员权限。

不具备管理员权限的情况下Trojan.DownLoader48.61444的运行轨迹

以管理员权限运行时，Trojan.DownLoader48.61444会通过执行多个PowerShell脚本来从C2服务器下载有效载荷。其中一个是ZIP压缩包one.zip，所包含的文件与第一中感染链中onedrive.zip压缩包的文件类似（具体来说就是合法程序OneDrivePatcher.exe和恶意库UpdateRingSettings.dll—Trojan.DownLoader48.54318）。

Trojan.DownLoader48.61444解压压缩包，并在系统计划程序中创建任务，以便在系统启动时OneDrivePatcher.exe能够自动运行。木马还会直接启动此应用程序。与第一中感染链类似，启动后，OneDrivePatcher.exe会利用DLL搜索顺序劫持漏洞，自动下载木马库UpdateRingSettings.dll。之后，会重复第一种感染链之后的感染步骤。

Trojan.DownLoader48.61444还会下载第二个ZIP压缩包：two.zip。压缩包包含恶意脚本Python.Downloader.208（update.py）以及运行该脚本所需的文件，其中包括Guardian.exe，是一个重命名的Python控制台解释器pythonw.exe。

压缩包解压后，Trojan.DownLoader48.61444会在系统计划程序中创建一个任务，以便在系统启动时自动启动Guardian.exe，还会通过此应用程序直接执行恶意脚本Python.Downloader.208。

攻击者显然是想通过部分重复第一个感染链来提高Trojan.ChimeraWire成功下载到目标系统的可能性。

具备管理员权限后Trojan.DownLoader48.61444的运行轨迹

Trojan.ChimeraWire

Trojan.ChimeraWire的名称是“喀迈拉”（希腊神话中的怪物，由多种动物的身体部位组成）和“电线”（wire）两个词的组合。使用“喀迈拉”一词是突出攻击者所使用方法的混合性，包括使用不同语言编写的木马下载器，还有在感染过程中同时采用反调试技术和权限提升手段，也代表这个木马结合使用各种框架、插件，并利用合法软件来实现对流量的隐蔽管理。第二个词“电线”则是将木马隐蔽且恶意的网络交互行为形象化。

感染目标计算机后，Trojan.ChimeraWire会从第三方网站下载一个名为chrome-win.zip的ZIP压缩包，是一个支持Windows系统的GoogleChrome浏览器。值得注意的是，这个网站还存储有适用于其他系统（例如Linux和macOS）的GoogleChrome浏览器版本，包括适用不同硬件平台的版本。

一个提供各种谷歌Chrome浏览器版本的网站，木马程序会从中下载所需的压缩包

下载浏览器后，Trojan.ChimeraWire会暗中尝试在浏览器安装NopeCHA和Buster两个插件，都是用于自动识别验证码，供木马在其运行过程中使用。

然后，木马会在不显示窗口的情况下以调试模式启动浏览器，从而在不引起用户注意的情况下执行恶意活动。之后，会通过WebSocket协议连接到自动选择的调试端口。

接下来，木马就会开始接收任务。向C2服务器发送请求后木马收到的响应是一个使用AES-GCM算法加密的JSON格式base64字符串。

C2服务器发送给木马的配置示例

配置包含的任务和相关参数：

目标搜索引擎（支持Google和Bing）；
在指定搜索引擎搜索并打开网站的关键词短语；
最大连续页面跳转次数；
在网页上执行自动点击的随机分布；
页面加载超时时间；
目标域名。

为更为真实模拟人类活动并绕过跟踪持续活动的系统，该配置还包含会话之间暂停操作的参数。

模仿用户鼠标点击

Trojan.ChimeraWire能够执行以下类型的点击：

浏览搜索结果；
在新后台标签打开相关链接。

首先，Trojan.ChimeraWire使用指定的搜索引擎搜索其配置中所指定的域名和关键词。然后会打开搜索结果中的网站，并找到定义超链接的所有HTML元素。木马将这些元素放入一个数据数组中，并打乱其顺序，使其与网页中的顺序不同。这样做是为了绕过网站的反机器人保护机制，因为这些机制可以追踪点击顺序。

接下来，Trojan.ChimeraWire会检查找到的链接是否有效以及链接中的字符串是否与配置中指定的模板匹配，然后统计匹配的总数。木马程序的后续操作取决于统计结果。

如果页面上找到足够多的匹配链接，Trojan.ChimeraWire会扫描页面并按匹配度将找到的链接进行排序（与关键词匹配度最高的链接排在最前面），然后会点击一个或多个匹配的链接。

如果匹配的链接数量不足或没有匹配的链接，恶意软件就会使用一种能够高度模拟真实用户操作的概率行为模型算法。根据配置中的参数，Trojan.ChimeraWire使用加权随机分布来确定要点击的链接数量。例如，["1:90","2:10"]就表示Trojan.ChimeraWire有90%的概率点击一个链接，有20%的概率点击两个链接。因此，极有可能是只点击一个链接。木马程序会从预先准备好的链接数组中随机选择一个链接进行点击。

每次点击搜索结果中的链接或点击加载的页面后，木马程序会根据任务返回上一个标签页或切换到下一个标签页。此操作序列会重复执行，直到达到目标网站的点击次数上限。

以下是C2服务器发送给木马的任务中包含其参数的一些网站示例：

木马ChimeraWire及其下载过程中所使用的其他恶意软件的详细技术说明请参阅PDF版研究报告和DoctorWeb公司病毒知识库。

Trojan.ChimeraWire更多详情
Trojan.DownLoader48.54600更多详情
Trojan.Starter.8377更多详情
Python.Downloader.208更多详情
Trojan.DownLoader48.54318更多详情
Trojan.DownLoader48.61444更多详情

结论

目前，Trojan.ChimeraWire的恶意活动主要限于执行相对简单的点击操作，目的只是提升网站访问量。然而，其底层工具的功能可以执行更广泛的任务，包括伪装成合法用户活动的各种自动化操作。例如，攻击者可以利用木马填写网页表单，包括那些为广告服务的调查网站的表单。还可以利用木马读取网页内容并创建屏幕截图，也就是可以用来进行网络间谍活动或者自动将信息收集到数据库（例如电子邮箱地址、电话号码等）。

因此，未来可能会出现能够实现上述功能及其他功能的Trojan.ChimeraWire新版本。我公司专家将持续关注这个木马的发展动态。

MITRE ATT&CK®

步骤	技术
执行	用户参与执行(T1204) 恶意文件(T1204.002) 恶意库(T1204.005) PowerShell (T1059.001) Windows命令提示符(T1059.003) Visual Basic (T1059.005) Python (T1059.006) Windows任务计划程序(T1053.005)
持久性	Windows注册表中的启动项/自启动目录(T1547.001) 计划任务/任务(T1053)
特权提升	流程劫持：DLL查找劫持(T1574.001) 绕过用户帐户监控(T1548.002)
防御逃避	加密/编码文件(T1027.013) 调试规避(T1622) 隐藏窗口(T1564.003) 文件或路径异常(T1564.012) 文件或数据的反混淆/解码(T1140) 流程劫持：DLL查找劫持(T1574.001)
命令和控制	双向通信(T1102.002) Web协议(T1071.001)

失陷指标

Dr.Web CureIt! 更新后可识别恶意软件试图隐藏的内容

Thu, 20 Nov 2025 08:00:25 GMT

Doctor Web 发布免费实用程序 Dr.Web CureIt! 更新。此次更新新增一项独特功能，能够扫描病毒编写者添加到反病毒软件排除列表中的文件和文件夹。这是对抗能够通过禁用安全系统来达到入侵目的的复杂威胁的重要一步。

这项新功能归功于我公司另一款成功产品 Dr.Web FixIt!。我公司专家利用Dr.Web FixIt!调查安全事件和清除复杂的感染。许多恶意程序会在感染计算机后立即尝试将自身的可执行文件添加到反病毒软件的排除列表，削弱系统防御能力：会蒙蔽的反病毒软件会忽略这些恶意对象，从而使攻击者可以随意窃取数据、将文件加密或在僵尸网络利用被感染计算机的资源。

新功能的工作原理：

启动后Dr.Web CureIt!会自动读取并分析您所安装的反病毒软件或内置反病毒软件的排除列表。
Dr.Web 反病毒引擎会对这些列表中的所有文件和文件夹进行彻底扫描。
如果在排除列表中侦测到恶意对象，Dr.Web CureIt! 会通知用户并删除威胁。

这项创新对于可能还没意识到设备安全系统已被入侵的普通用户至关重要。现在，即使病毒试图来个“灯下黑”，Dr.Web CureIt! 也能将其找到并解除威胁。

下一步计划：为 Linux 系统提供急救

基于 Dr.Web FixIt! for Windows 的成功经验，我公司计划发布适用 Linux 的完整版本，用于帮助信息安全专家调查针对企业基础设施的网络攻击。
而现在用户已可以使用实用程序Dr.Web FixIt! for Linux向我们的技术支持发送系统信息。该工具现已移至新页面：https://free.drweb.cn/sysinfo/
之后，我们将在此版本的基础上开发出面向普通用户的 Dr.Web CureIt! 工具，方便用户快速扫描并清除 Linux 电脑的病毒感染。
更新后的 Dr.Web CureIt! 版本可在官方网站免费下载*：https://free.drweb.cn/download+cureit+free/

*仅限个人使用。

双十一特惠：Dr.Web Security Space 享 30% 折扣，双设备可获1 年的可靠保护！

Mon, 10 Nov 2025 06:00:00 GMT

趁年度购物节之机为您的数字生活建立全面安全保护！

双11这个最大的购物狂欢节即将到来，我公司特此隆重推出特别优惠活动，莫要错过这个让技术成熟的软件来保护您设备的绝佳机会。
2025年11月10日至16日期间，在我公司网络商店购买Dr.Web Security Space 一年期双设备授权可享七折优惠，优惠码：SHUANGSHIYI

Dr.Web Security Space是一款提供全面保护的反病毒软件，功能包括：

抵御病毒、间谍软件和勒索软件
使用Origins Tracing™技术提供预防性保护，阻止最新未知威胁
强大防火墙高效拦截黑客攻击
过滤垃圾邮件和钓鱼邮件
父母控制组件保障未成年人的在线安全

现在购买Dr.Web的原因？获取三合一优势：

一个授权即可保护两台设备一整年
节日特惠价：七折优惠，价格最为经济实惠
久经考验的品质：Dr.Web 解决方案应对全球网络威胁的经验已超过 30 年

假日促销高峰期网络威胁会分外活跃，切勿错过保护您的数据、银行交易和隐私的机会！
此促销活动限时有效。促销期间购买的授权不可用来续费。

购买

Dr.Web移动设备保护产品全新升级，配备智能防护系统

Fri, 07 Nov 2025 09:00:00 GMT

用于保护智能手机、平板电脑和其他安卓设备的新款反病毒软件已正式发布。升级主要涉及防护自动化和运行稳定性的进一步提升。

本次升级的亮点

全新的威胁自动处理功能使Dr.Web解决方案能够无需用户手动干预就能立即自动删除恶意对象、拦截可疑链接并隔离风险应用。

用户会有哪些新体验？

个人用户无需再像以前那样留意所有的威胁通知，而是可以完全不在进行手动操作。这样，反病毒软件的响应不再受用户能否即时对威胁通知及所需操作做出响应的影响。我公司专家开发的智能系统能够根据预设的针对各类恶意软件的响应参数，实时自动解除威胁。
新版解决方案将大大便利企业用户。自动删除恶意对象、拦截可疑链接以及许多其他操作均可即时完成，无需管理员直接干预。管理中心也将支持此功能。

管理变得更加便捷

本次升级新增了对扫描仪和 SpIDer Guard 组件在安卓设备侦测到各类威胁时所采取操作的统一管理功能。升级后管理员可以根据威胁类别设置Dr.Web代理端对威胁的响应方式，包括通知、删除或忽略。

重要提示！

从本版本开始，解决方案将不再支持安卓系统 4.4 版本，敬请在升级时加以留意。
如果您使用的是从Doctor Web官网下载的 Dr.Web Security Space移动保护产品，则需要重新安装应用才能进行升级，也就是要下载最新版本软件并进行安装。
对于从 Google Play 下载 Dr.Web Security Space 移动保护产品的用户或订阅Dr.Web或 Dr.Web Mobile Security Suite的用户，升级以常规更新方式进行。

ClickFix的进攻机制

Fri, 24 Oct 2025 13:08:21 GMT

ClickFix 攻击日益猖獗，给全球用户制造安全威胁。这是一种社会工程学攻击，攻击者会诱骗用户在自己的设备上执行恶意代码。
攻击始于用户访问被黑客入侵的网站或虚假网站，这样的网站会显示一个警告信息，如页面显示异常、浏览器发生错误或需要更新。屏幕上会出现“修复”、“检查”或“更新”按钮。当这些按钮出现时，恶意代码会被悄无声息地复制到剪贴板，甚至无需用户点击按钮，复制过程是自动的。然后，系统会提示用户点击“运行”将代码粘贴到命令行或窗口中。用户执行此操作后，恶意软件就会启动并安装，因为操作由用户自己执行，通常不会进行反病毒检查。

以下是一个 ClickFix 攻击的简化模拟
当用户在启动浏览器并查看内容时，出现一条预警，提示页面显示出现问题，并且这些错误出现的原因是浏览器最近的一次更新。

同时提示用户执行一系列操作来解决这个问题：

点击“Fix it!”按钮；
右键单击 Windows 图标；
从列表中选择具有管理员权限的 Windows PowerShell；
右键单击粘贴代码并执行。

点击浏览器中的按钮会静默复制恶意可执行脚本，将其粘贴到 PowerShell 终端并执行：

这个脚本会创建与 C2 基础设施的远程连接，从而使攻击者能够远程控制被感染的系统。
我们模拟的这种情况是与远程 C2 主机建立连接，并将可执行文件形式的有效载荷下载到用户主机，有效载荷的功能是修改 hosts 文件，启动其激活机制，然后终止脚本。
在恶意文件启动阶段，Dr.Web 解决方案利用预防性保护技术成功将其侦测。
另一种常见的 ClickFix 攻击是伪装成验证码的攻击。屏幕上会显示看似正常的验证过程，而恶意代码已在后台复制到剪贴板。这种伪装增加了攻击成功的可能性，诱使用户误以为只是在确认身份，在不知情的情况下与恶意内容发生交互作用。

接下来会出现如何运行代码的操作说明。

如果容易轻信的用户遵循这个步骤说明进行操作，就会让攻击者获得远程访问设备的可能：用户自己运行的是恶意脚本。

为什么ClickFix 攻击难以侦测？
当用户点击恶意网站上的按钮时，反病毒软件不会看到任何威胁。这是因为在此阶段，所有操作都还完全正常：用户自己在复制、粘贴和运行命令，就像是正常的系统操作。
当恶意文件启动或代码尝试集成到系统中的其他进程时反病毒软件会进行侦测，这时反病毒软件会识别出威胁并将其消除。换句话说，保护措施是在所谓的后运行阶段触发，此时恶意软件已开始其主动操作，比如会影响受保护的进程或其本身行为可疑。
但此时，攻击者通常已经连接到了受害者的系统。这意味着主要的恶意负载已经入侵，并且可以伪装成正常进程。
在此阶段，攻击者可以：

巩固其在系统中的存在（获得更多权限）
收集数据
通过网络移动
尝试禁用反病毒保护

此外，恶意软件可以经过加密或混淆处理，使其更难被常规防御机制发现。
为什么在进攻发生的最初阶段采取行动至关重要？
从我们上面的介绍已将可以了解到不仅要在威胁出现后做出响应，还要阻止攻击者连接到系统，这一点尤为重要。可以通过以下方法实现：

如果浏览器中出现包含命令（例如 PowerShell）的可疑消息，要检查剪贴板内容
分析网络流量，识别建立可疑连接的尝试
培养用户识别社会工程的能力，包括通过分析真实的攻击场景

Dr.Web vxCube产品许可协议更新

Fri, 17 Oct 2025 07:55:14 GMT

Dr.Web vxCube 沙箱的功能是通过在隔离的虚拟环境中还原可疑文件行为来对其进行检查，从而识别计算机系统是否出现感染，并及时阻止包括定向攻击 (APT) 在内的进攻。
Dr.Web vxCube可对支持Windows和Linux系统的对象进行分析。此外，Dr.Web vxCube沙箱还可以分析安卓APK应用程序和Docker容器。
Dr.Web vxCube可疑文件分析仪（沙箱）有两种版本：云端版和本地版（on-premise）。侦测到威胁时，可配置专门的清除工具Dr.Web CureIt!对系统进行清除。
查看更新后的许可协议请访问https://license.drweb.com/agreement/ 。
这一解决方案可在Doctor Web合作伙伴处购买。

Doctor Web：2025年第三季度病毒活动综述

Wed, 01 Oct 2025 01:00:00 GMT

2025.10.01

Dr.Web产品侦测统计信息显示，2025年第三季度侦测到的威胁总数与第二季度相比降低4.23%。独特威胁数量增加2.17%。受保护设备上最常侦测到的是不良广告软件、广告木马和恶意脚本。电子邮件流量中最常见的威胁是各种恶意脚本、后门软件和木马程序。包括木马下载器、木马投放器（trojian-dropper）和盗窃密码的木马。

受到勒索木马感染的用户最常遇到的加密器是 Trojan.Encoder.35534、Trojan.Encoder.35209 和 Trojan.Encoder.35067。

7月份我公司技术专家通告窃取加密货币和密码 Trojan.Scavenger 家族木马正在传播。攻击者将其伪装成游戏修改程序、作弊程序和补丁进行传播。这些木马病毒利用合法的应用程序进行启动，利用的手段中包括DLL搜索顺序劫持漏洞。

8月，我们的病毒分析师预警多功能移动设备后门 Android.Backdoor.916.origin 正在传播，该后门主要针对的是俄罗斯企业。网络犯罪分子通过远程控制后门来窃取机密数据并进行监视活动。

同月，我公司反病毒实验室发布关于Scaly Wolf组织针对一家俄罗斯机械工程公司发起的针对性攻击的研究报告。攻击者使用多种恶意工具，其中最主要的是模块式后门Updatar。攻击者试图利用这一后门获取被感染计算机的机密数据。

第三季度，互联网分析师再度发现多个虚假的Telegram网站以及欺诈性的金融资源。此外，在过去三个月中，我们的专家在 Google Play 上记录到数十个恶意应用和不良应用，其中包括给用户订阅付费服务的 Android.Joker 木马和 Android.FakeApp 假冒应用。

第三季度主要趋势

在受保护设备侦测到的威胁数量下降
进攻所使用的独特新威胁数量增加
出现新的即时通讯软件Telegram伪网站及金融类诈骗网络资源
专门窃取加密货币和密码的 Trojan.Scavenger 恶意软件在持续传播
Android.Backdoor.916.origin 后门程序被用于监视俄罗斯商界人士和窃取机密数据
广告木马 Android.MobiDash 成为安卓设备的主要威胁
广告木马 Android.HiddenAds 活跃度连续两个季度持续下降
Google Play出现众多新威胁

Doctor Web统计服务收集的数据

2025年第三季度最常见威胁：

VBS.KeySender.7: 恶意脚本，无限循环搜索带有文本 mode extensions、разработчика 和 розробника 的窗口，并向其发送Escape 按钮被按事件，迫使窗口关闭。
Adware.Downware.20091: 广告软件，经常用于盗版软件的中转安装器。
Trojan.Siggen31.34463: 用Go编程语言编写的木马程序，专门用于向目标系统植入各类挖矿工具和广告软件。为DLL文件形式，存储路径为 %appdata%\utorrent\lib.dll。木马利用 torrent 客户端 uTorrent 的 DLL 搜索顺序劫持漏洞来进行启动。
Adware.Ubar.20: 捆绑安装不良软件的 torrent 客户端。
JS.Siggen5.44590: 被植入公共 JavaScript 库 es5-ext-main 的恶意代码，会在软件包安装到处于俄罗斯时区的服务器时展示特定的消息。

邮箱流量恶意程序统计数据

W97M.DownLoader.2938: 利用 Microsoft Office文档漏洞的木马下载器家族，功能是将其他恶意软件下载到受攻击的计算机。
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Microsoft Office 漏洞利用程序，可执行任意代码。
JS.Phishing.745: 用于生成钓鱼网页的恶意 JavaScript 脚本。
JS.Muldrop.371: 在系统安装有效负载的恶意 JavaScript 脚本。

加密器

2025年第三季度勒索木马受害者的文件解密申请量较第二季度上升3.02%。

Doctor Web公司技术支持部门接收到的解密申请量动态：

2025年第二季度最常见的加密器：

Trojan.Encoder.35534 — 占用户申请的 26.99%
Trojan.Encoder.35209 — 占用户申请的 3.07%
Trojan.Encoder.35067 — 占用户申请的 2.76%
Trojan.Encoder.41542 — 占用户申请的 2.15%
Trojan.Encoder.29750 — 占用户申请的 1.84%

网络诈骗

2025年第三季度，我公司互联网分析师再次记录到出现虚假 Telegram网站，其中包括诈骗者用来获取用户帐户访问权限的网站：

此外，金融类欺诈网站再度活跃。其中一个以所谓的苹果公司打造的"未来投资平台"——Apple Trade AI为诱饵，诱骗用户上钩。网络犯罪分子向潜在受害者承诺每月赚取金额可超过4000美元，但用户需注册并提供个人信息才能"使用"服务。

其他诈骗网络平台则打着"参与Meta全新投资平台"的旗号，承诺用户能"建立月入4000美元以上的稳定收入来源"，但想要使用该"平台"的用户必须先完成问卷调查及注册流程。

我们的专家还发现了一批新型投资仿冒平台，声称可以通过WhatsApp中的交易机器人获利。

而使用这些承诺的服务前是要求潜在受害者提供以下个人数据：

部分欺诈网站是专门针对特定国家受众，其中一些瞄准的是独联体国家用户，犯罪分子以"开启封闭的投资市场"为诱饵，宣称可通过金融平台INSIDER X获得独家投资渠道。用户被要求"提交申请"并在提供个人信息后才能参与。

一个针对俄罗斯用户设计的诈骗模式是邀请用户参与问卷调查，并承诺之后可访问一个与大型油气企业及俄政务门户网站有着所谓关联的"投资平台"。

还有一些欺诈网站则冒充俄罗斯银行的官方服务平台，以"周赚五万卢布起"为诱饵诱导用户注册：

其他多个国家也再次出现的类似诈骗模式，其中一个网站针对的是吉尔吉斯斯坦用户，打着"全民计划"的旗号，以投资该国规模最大的企业为诱饵：

另一个网站则谎称与某格鲁吉亚银行有关联，可让用户加入一个所谓的"投资平台"：

类似的诈骗手段还有仿冒哈萨克斯坦一家银行的官网，承诺用户每月最少可赚取6万坚戈：

另一个在线资源的诈骗者是伪装成一家土耳其石油和天然气公司，为潜在受害者提供所谓成为投资平台会员的机会，承诺“每天收入可高达 9,000 里拉”：

与此同时，诈骗者继续利用各种政府支付和补偿政策进行诈骗。在一个针对哈萨克斯坦用户的不良网站上谎称访问者可以查询政府补偿金，并可获得高达500万坚戈的补偿金：

了解Dr.Web不建议访问网站更多详情

移动设备恶意软件和不良软件

根据移动设备保护产品Dr.Web Security Space的侦测统计，2025年第三季度，在受保护的设备上最频繁侦测的是 Android.MobiDash 广告木马。之前排在第一的 Android.HiddenAds 与上一季度相比退居第二，排在之后的是恶意虚假程序 Android.FakeApp。

与第二季度相比银行木马 Android.BankBot 家族的攻击增加，而 Android.Banker 和 Android.SpyMax 家族木马在受保护设备的侦测频率有所降低。

八月，我公司公司的专家发布对多功能后门程序 Android.Backdoor.916.origin 的研究报告。网络犯罪分子利用这个后门窃取机密数据并对俄罗斯商界人士进行监视活动。

在过去的三个月Google Play官方应用商店中发现的恶意及不良软件已超过70个，其中包括给用户自动订阅付费服务的 Android.Joker 木马、虚假应用 Android.FakeApp 以及谎称可将虚拟奖励兑换成真实货币的软件 Program.FakeMoney.16。

第三季度主要移动安全事件：

广告木马 Android.MobiDash 活动增加
广告木马 Android.HiddenAds 活动减弱
银行木马 Android.BankBot 侦测量增加
银行木马 Android.Banker 和间谍软件 Android.SpyMax 攻击次数减少
Android.Backdoor.916.origin 后门程序被用于监视俄罗斯商界人士
Google Play目录中出现新威胁

2025年第三季度份移动威胁更多详情请参阅移动威胁综述。

DoctorWeb：2025年第三季度移动设备病毒活动综述

Wed, 01 Oct 2025 00:00:00 GMT

2025.10.01

根据移动设备保护产品Dr.Web Security Space的侦测统计，2025年第三季度侦测最多的是会不断显示广告的 Android.MobiDash 广告木马，与上一季度相比在受保护设备的侦测量上升18.19%。

广告木马 Android.HiddenAds。侦测量退居第二，近三个月用户遭遇此类木马的频率降低71.85%。这些恶意应用程序会通过隐藏图标来避免被用户发现和删除，并会显示广告，包括全屏视频。

排在第三的还是用于各种诈骗模式的恶意虚假程序 Android.FakeApp，其侦测量降低7.49%。这些木马病毒经常不是执行其声称预期功能，而是加载各种网站，包括诈骗和恶意网站，以及在线赌场和博彩网站。

最常见的银行木马仍然是 Android.Banker 家族成员，但其活动量下降了 38.88%。攻击者利用这些银行木马访问银行账户并窃取资金。这些木马的功能包括显示钓鱼窗口窃取登录名和密码、模仿合法银行应用程序的外观、拦截短信获取一次性验证码等等。

排在其后的是木马 Android.BankBot，其侦测频率上升了 18.91%。这些木马也是通过拦截确认码来访问用户的网上银行账户。这些银行木马病毒还可以执行网络犯罪分子的各种命令，有些甚至可用于远程控制被感染的设备。

排名前三的恶意软件还包括基于间谍木马 SpyNote 源代码的 Android.SpyMax 家族成员。与第二季度相比其侦测率下降 17.25%。这些恶意软件具有广泛的恶意功能，其中包括远程控制设备的功能。

8 月份，我们通报了多功能后门 Android.Backdoor.916.origin 的传播活动，网络犯罪分子利用这个后门窃取机密数据并监视安卓设备用户。攻击者通过各种通讯应用向潜在受害者发送消息，建议从消息附带的 APK 文件安装“杀毒软件”。Doctor Web 的反毒实验室早在 2025 年 1 月就侦测到了这种恶意软件的第一个个版本，并自此持续监控其发展情况。我公司专家认为该后门是用于定向攻击，所以目的并非是大规模传播。网络犯罪分子的主要进攻目标是俄罗斯企业。

第三季度，Google Play 上出现了大量恶意和不良应用，总安装量超过 1,459,000 次。其中包括数十个用于诱骗受害者注册付费服务 Android.Joker 木马以及 Android.FakeApp 欺诈程序。此外，我们的恶意软件分析师还发现了另一个谎称用户可将虚拟奖励兑换成真实货币的程序。

第三季度主要移动安全事件：

广告木马 Android.MobiDash 活动增加
广告木马 Android.HiddenAds 活动减弱
银行木马 Android.BankBot 侦测量增加
银行木马 Android.Banker 和间谍软件 Android.SpyMax 攻击次数减少
Android.Backdoor.916.origin 后门程序被用于监视俄罗斯商界人士
Google Play目录中出现新威胁

Dr.WebforAndroid保护产品统计信息

最常见的恶意软件

Android.MobiDash.7859: 显示烦人广告的木马程序，是一个软件模块，软件开发人员可将其嵌入到应用程序中。
Android.FakeApp.1600: 能够下载其设置中指定的网站的木马，已知变种加载的是在线赌场。
Android.HiddenAds.673.origin: 用于不断显示广告的木马，Android.HiddenAds 家族成员经常假冒正常应用，某些情况下借助其他恶意软件暗中安装到设备的系统目录。安装到安卓设备后，此类木马会隐身，比如去掉自己在主屏幕的应用图标。
Android.Triada.5847: 侦测用于保护木马免受分析和侦测的 Android.Triada 木马加壳程序。攻击者通常将其与直接嵌入了木马的恶意 Telegram 通讯模块结合使用。

Program.FakeMoney.11: 侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积，称积累到一定的金额就可用“提现”，但实际上用户根本不可能得到任何付款。
Program.CloudInject.5
Program.CloudInject.1: 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.TrackView.1.origin: 通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。

最常见的风险程序

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.4: 使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。
Tool.LuckyPatcher.2.origin: 一种能够修改已安装Android应用（为其创建补丁）的工具，功能是改变其运行逻辑或绕过某些限制。例如，用户可借助此工具尝试禁用银行应用对ROOT权限的检测，或在游戏中获取无限资源。该工具会从网络下载专门编写的脚本来创建补丁，而这些脚本可由任何用户编写并上传至公共数据库。此类脚本可能包含恶意功能，因此生成的补丁可能具有潜在风险。
Tool.Androlua.1.origin: 使用Lua脚本编程语言的安卓程序开发专用框架的多个危险版本。Lua应用程序的主要逻辑位于相应的脚本中，这些脚本在执行前由解释器进行加密和解密。通常此框架会请求提供各种系统权限，这样通过其执行的Lua脚本会根据得到的权限执行不同的恶意操作。

最常见的广告软件

Adware.AdPush.3.origin
Adware.Adpush.21846: 一类可嵌入安卓应用的广告模块，通过展示容易误导用户的通知进行广告推送，如将广告伪装成操作系统通知的样式。此外，这些模块还能收集多种敏感数据，并具备下载其他应用并静默触发其安装的能力。
Adware.ModAd.1: WhatsAppMessenger的某些修改版，内含代码可在使用Messenger时通过网络图片加载指定链接，利用这些地址重定向到广告网站，例如在线赌场和博彩公司、成人网站。
Adware.Youmi.4: 在安卓设备桌面上创建广告快捷方式的不良广告插件。
Adware.Basement.1: 显示不良广告的应用程序通常会将用户引至恶意网站和诈骗网站，与不良软件 Program.FakeMoney.11 共享一个共同的代码库。

GooglePlay中的威胁

2025 年第三季度，我公司反病毒分析师在 Google Play 目录中发现超过50个属于 Android.Joker 家族的木马程序，这些木马伪装成各种软件进行传播，包括即时通讯工具、各类系统辅助工具、图像编辑软件、摄影应用、文档处理程序等等，功能是擅自为用户订阅付费服务。

其中一个木马化身名为"Clean Boost"的安卓系统优化软件（Android.Joker.2412），另一个打着的名号是文本转换工具"Convert Text to PDF"（Android.Joker.2422）。

此外，我们的专家再度发现用于诈骗活动的安卓仿冒应用 Android.FakeApp。与以往一样，网络犯罪分子将其中部分软件伪装成金融类工具，如金融资讯查询手册、投资教学指南、投资服务平台接入程序等。这些仿冒应用会加载欺诈网站。另一些 Android.FakeApp 木马则伪装成游戏，在特定条件下不提供宣称的功能，而是会跳转至博彩网站和线上赌场。

伪装成金融应用程序的 Android.FakeApp 木马示例。Android.FakeApp.1889 向用户提供所谓的金融知识测试，而 Android.FakeApp.1890 则声称可发展投资智商

我们的专家还发现了一个不良软件 Program.FakeMoney.16，以"Zeus Jackpot Mania"应用的形式传播。用户使用该软件可获得虚拟奖励，而应用称能将这些奖励兑换成真实货币并提现。

Google Play中的 Program.FakeMoney.16

"提现"时该程序会要求用户提供一系列信息，但受害者最终根本不会获得任何资金。

Program.FakeMoney.16 要求用户提供完整姓名及银行账户信息

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标

Dr.Web Light安卓版反病毒软件更新至版本12.2.6

Thu, 07 Aug 2025 09:46:37 GMT

2025年8月7日

Doctor Web 公司发布Dr.Web Light安卓版反病毒软件版本12.2.6。更新后产品支持安卓16 ，同时反病毒引擎也进行了更新，威胁侦测效率和扫描速度均进一步提升。此外，应用还进行了一些提升其性能的内部改进。

在此提请广大用户注意，如果之前是从Doctor Web网站安装的Dr.Web Light安卓版，需要卸载旧版本后安装新版本。

也可在Google Play下载更新版本。

Dr.Web Light安卓版仅提供基本的反病毒保护。我们建议您购买Dr.Web Security Space移动设备保护产品，以便能够充分利用包括家长控制、来电和短信过滤、网址过滤、防盗器和防火墙在内的全面保护功能。

您可以在此页面下载Dr.Web Security Space移动设备保护产品免费试用版（可试用14 天）。

Dr.Web Security Space 授权续费可获得专属你的50%优惠码。

Fri, 25 Jul 2025 00:00:00 GMT

2025 年 7 月25日

在 2024 年 9 月 1 日之前购买 Dr.Web Security Space 授权的用户请注意，我公司于 2025 年 7 月 25 日推出特别优惠活动：授权续费将获得一个专门为你提供的优惠码，购买Dr.Web Security Space移动设备保护产品时利用此优惠码可享用50% 的折扣。

哪些用户可以参与此次优惠活动？

持有于 2024 年 8 月 31 日及此日之前购买的Dr.Web Security Space 有效授权的用户。受保护电脑的数量或授权有效期对参与活动没有影响。

如何获取优惠码？

在我们的网络商店为授权续费。付款后即会收到一封包含专属优惠码的电子邮件。

优惠码可用于购买哪些授权？

在Doctor Web 网络商店购买Dr.Web Security Space 移动设备保护产品新授权时，输入优惠码可享受 50% 的折扣。此折扣适用的授权无设备数量和有效期限制，可根据自己的情况进行选择。

可以与朋友分享优惠码吗？

此优惠码具有唯一性和一次性，只能在我们的网络商店使用一次。

如果我续费的是可保护1 台电脑为期1年的Dr.Web Security Space授权，可以使用优惠码购买比如说保护5 个移动设备为期 2 年的 Dr.Web Security Space移动设备保护授权吗？

可以。

优惠码是否可用于购买其他Dr.Web个人用产品，比如说 Dr.Web Family Security？

不，不可以。

优惠活动于2025 年 7 月25日开始，持续至 2027 年 8 月 31 日。

使用Dr.Web反病毒软件保护你的所有设备，抵御所有类型的网络威胁。

授权续费

游戏玩家们要小心了：Windows木马正在以作弊和修改程序为诱饵进行传播，目的是窃取加密货币和密码

Tue, 22 Jul 2025 01:00:00 GMT

2025年7月22日

DoctorWeb公司反病毒实验室侦测到发现新的恶意软件家族Trojan.Scavenger，攻击者利用这些恶意软件窃取Windows操作系统用户加密钱包和密码管理器中的机密数据。已发现感染电脑的多个木马，而且这些木马是使用合法的应用程序来进行，利用的漏洞进攻包括DLLSearchOrderHijacking类型。

导语

2024年Doctor Web公司调查了一起试图对俄罗斯企业实施定向攻击的信息安全事件，攻击方案中使用了一种恶意软件，是利用常用网络浏览器中存在的DLL搜索顺序拦截漏洞来感染目标系统（DLLSearchOrderHijacking）。Windows应用程序启动时，会按照特定的顺序在各个存储库搜索所需要的库。攻击者采取的“欺骗”手段是将恶意DLL文件放置在首先执行搜索的位置，比如目标软件的安装目录，而且木马文件的名称是位于搜索优先级较低的目录中的合法库的名称，这样存在漏洞的程序在启动时就会首先加载恶意DLL，而恶意我家或成为程序的一部分并享有同等权限。

对此次事件进行调查后，我公司技术专家在Dr.Web反防病毒产品添加了跟踪功能，可以阻止恶意软件利用程序的DLL搜索顺序拦截漏洞。在研究此功能的遥测数据时，我公司反病毒分析师发现了之前未知的恶意软件同时被下载到我公司多个客户的浏览器。通过对这些案例的研究，我们发现了新的黑客活动，特发此文进行通报。

恶意软件 Trojan.Scavenger 感染计算机的过程分为多个阶段，首先是木马下载程序利用各种方式进入目标系统。我们的专家已确定此黑客活动有两条操作链，涉及不同数量的木马组件。

利用三个加载器的操作链

在这个感染操作链中，起始组件使用的是恶意软件 Trojan.Scavenger.1, 这是是一个动态链接库（DLL），可以作为盗版游戏的一部分传播，也可以各种游戏补丁、作弊程序和模组的名义通过种子和游戏主题网站传播。接下来我们来看一个骗子将木马伪装成补丁的示例。

Trojan.Scavenger.1 以ZIP压缩包形式分发，并附带安装说明，说明中鼓动潜在受害者在OblivionRemastered游戏目录中放置一个“补丁”，慌称是可以提高游戏性能：

Drag umpdc.dll and engine.ini to the game folder:
\steamapps\common\Oblivion Remastered\OblivionRemastered\Binaries\Win64
 
Engine.ini will automatically be loaded by the module.
The module will also apply some native patches to improve performance

恶意文件的名称也并非攻击者的偶然选择：Windows操作系统中，名为 umpdc.dll的合法文件位于系统目录%WINDIR%\System32，是各种程序（包括游戏）使用的图形API的一部分。如果受害者的游戏版本存在未修补的漏洞，则可复制的木马文件将随之自动启动。值得注意的是，进行调查时OblivionRemastered游戏的最新版本能够正确处理umpdc.dll库的搜索顺序，因此在此示例中 Trojan.Scavenger.1 没能自动从这个库启动并继续进行感染。

而如果能成功启动，木马会从远程服务器下载并开始下一步，也就是加载器 Trojan.Scavenger.2（tmp6FC15.dll），这个加载器会下载安装这个木马家族的其他模块 Trojan.Scavenger.3 和 Trojan.Scavenger.4。

Trojan.Scavenger.3 是一个动态库version.dll，会复制到基于Chromium引擎构建的一个目标浏览器的目录，与%WINDIR%\System32目录下的一个系统库同名。存在DLL搜索顺序漏洞的浏览器不会检查此类名称的库从何处加载，由于木马文件位于浏览器目录中，因此比合法的系统库具有优先权，会首先被加载。我们的反病毒分析师记录到的是在GoogleChrome、MicrosoftEdge、Yandex和Opera浏览器中利用此漏洞的进攻.

一旦启动，Trojan.Scavenger.3 就会禁用目标浏览器的保护机制，例如启动沙箱的机制，从而导致浏览器不再能隔离所执行的JS代码。此外，该木马还会禁用浏览器中的扩展名检查，所采取的方式是根据是否存在导出函数CrashForExceptionInNonABICompliantCodeRange来识别相应的Chromium库，然后，会在该库中搜索扩展名检查例程并对其进行相应的修补。

然后，该木马会修改浏览器中安装的目标扩展，并从C2服务器以JavaScript代码的形式接收所需修改。更改的对象是：

加密币钱包
- Phantom
- Slush
- MetaMask
密码管理器
- Bitwarden
- LastPass

被修改的并不是原始文件，而是木马事先放置在%TEMP%/ServiceWorkerCache目录中的副本。为了让浏览器“获取”修改后的扩展名，Trojan.Scavenger.3 会拦截对函数CreateFileW和GetFileAttributesExW的控制，将原始文件的本地路径替换为修改后的文件路径（Dr.Web将其侦测为 Trojan.Scavenger.5 ）。

修改采用有两种形式：

向cookie添加时间戳；
添加向C2服务器发送用户数据的功能。

从Phantom、Slush和MetaMask加密钱包传输给攻击者的是私钥和助记词，从Bitwarden密码管理器发送的是登录cookie，而从LastPass窃取的是受害者添加的密码。

同时 Trojan.Scavenger.4 （profapi.dll）会复制到Exodus加密钱包应用的目录。木马随该程序自动启动，利用的还是DLL搜索顺序漏洞（原系统库profapi.dll位于目录%WINDIR%\System32，但木马文件利用漏洞在钱包启动时获取了加载优先级）。

启动后 Trojan.Scavenger.4 会拦截V8引擎与JavaScript和WebAssambly协同运行的函数v8::String::NewFromUtf8，并利用此功能件监视目标应用生成的JSON并获取各种用户数据。具体在Exodus程序木马会搜索并读取包含passphrase键的JSON，从而达到截获用户自定义助记词后解密或生成受害者加密钱包私钥的目的。接下来，木马会在加密钱包中找到私钥seed.seco，读取后并将其与之前获取的助记词一起发送到C2服务器。

利用两个加载器的操作链

这种操作链与第一个基本相同，只是藏在所谓游戏“补丁”和“作弊”软件压缩文档中不是 Trojan.Scavenger.1，而是 Trojan.Scavenger.2,变种，是一个扩展名为.ASI的文件，而非DLL文件（实际上，这是一个扩展名被修改的动态库）。

压缩文档附带的安装说明：

Copy BOTH the Enhanced Nave Trainer folder and "Enhanced Native Trainer.asi" to the same folder as the scripthook and launch GTA.

用户将文件复制到指定目录后这个恶意文件会在目标游戏启动时作为游戏插件自动启动，接下来就会执行之上描述的感染步骤。

木马家族特征

这个家族的大多数木马具有一些共同特征，其中之一是会检查是否在虚拟环境或调试模式运行。如果木马发现是人工环境就会终止运行。

另一个特点是与控制服务器通信采用同样的算法。建立通信时木马会通过发送两个请求来创建密钥并检查加密：第一个请求是获取密钥的一部分，密钥用于加密特定请求中的某些参数和数据。第二个是验证密钥，包含某些参数，例如随机生成的字符串、当前时间和加密的时间值。C2服务器使用之前收到的字符串对其进行响应。所有后续请求都包含时间参数，如果缺少时间参数，服务器将拒绝建立连接。

Trojan.Scavenger.1 更多详情

Trojan.Scavenger.2 更多详情

Trojan.Scavenger.3 更多详情

Trojan.Scavenger.4 更多详情

Trojan.Scavenger.5 更多详情

结语

我们通知了其软件因存在安全漏洞而被用于发动进攻的软件供应商，但供应商认为DLLSearchOrderHijacking类的漏洞不需要打补丁。应该说明的是，在我们侦测到 Trojan.Scavenger 恶意软件家族之前，Dr.Web反病毒产品内置的针对此类攻击的保护功能就已经成功阻止了相应浏览器的漏洞被利用，因此我公司产品的用户未受到这些木马的威胁。此次进攻调查结束后，产品中还添加了对Exodus加密钱包的保护。

失陷指标

试驾2个月仅需8元：获取Dr.Web Security Space授权保护您的电脑

Wed, 02 Jul 2025 02:00:00 GMT

2025.07.02

为什么这个试驾授权比一个月免费试用更有吸引力？很简单，您将获得的是为期 2 个月且包含技术支持的完整授权。

请访问促销页面获取授权，这样就无需再担心木马、黑客和诈骗网站会给您带来危害。试用60天后再支付90元就可继续使用一年。

Dr.Web Security Space支持的操作系统包括Windows、macOS 和 Linux。

Doctor Web公司新闻

Doctor Web：2026年第一季度移动设备病毒活动综述

第一季度主要移动安全事件：

Dr.Web for Android保护产品统计信息

Google Play中的威胁

Doctor Web：2026年第一季度病毒活动综述

第一季度主要趋势

Doctor Web统计服务收集的数据

邮箱流量恶意程序统计数据

加密器

网络诈骗

移动设备恶意软件和不良软件

Dr.Web 个人电脑保护解决方案荣获赛可达优秀产品奖（SKD AWARDS）

迎马年新春特惠！Dr.Web Security Space 两年授权限时优惠30%！

Android.Phantom家族木马通过游戏和盗版热门应用感染智能手机并利用机器学习和视频流来操纵点击

DoctorWeb：2025年第四季度移动设备病毒活动综述

第四季度主要移动安全事件：

最常见的恶意软件

GooglePlay中的威胁

Doctor Web：2025年第四季度病毒活动综述

第四季度主要趋势

Doctor Web统计服务收集的数据

邮箱流量恶意程序统计数据

加密器

网络诈骗

移动设备恶意软件和不良软件

Dr.Web FixIt!许可协议更新!

击败怪物Chimera的贝勒罗丰做梦也想不到的事： 木马ChimeraWire借模仿人类行为提升网站访问量

简介

第一种感染链

第一种感染链

Trojan.ChimeraWire

模仿用户鼠标点击

结论

Dr.Web CureIt! 更新后可识别恶意软件试图隐藏的内容

下一步计划：为 Linux 系统提供急救

双十一特惠：Dr.Web Security Space 享 30% 折扣，双设备可获1 年的可靠保护！

Dr.Web移动设备保护产品全新升级，配备智能防护系统

本次升级的亮点

用户会有哪些新体验？

管理变得更加便捷

ClickFix的进攻机制

Dr.Web vxCube产品许可协议更新

Doctor Web：2025年第三季度病毒活动综述

第三季度主要趋势

Doctor Web统计服务收集的数据

邮箱流量恶意程序统计数据

加密器

网络诈骗

移动设备恶意软件和不良软件

DoctorWeb：2025年第三季度移动设备病毒活动综述

第三季度主要移动安全事件：

Dr.WebforAndroid保护产品统计信息

GooglePlay中的威胁

Dr.Web Light安卓版反病毒软件更新至版本12.2.6

Dr.Web Security Space 授权续费可获得专属你的50%优惠码。

哪些用户可以参与此次优惠活动？

如何获取优惠码？

优惠码可用于购买哪些授权？

可以与朋友分享优惠码吗？

如果我续费的是可保护1 台电脑为期1年的Dr.Web Security Space授权，可以使用优惠码购买比如说保护5 个移动设备为期 2 年的 Dr.Web Security Space移动设备保护授权吗？

优惠码是否可用于购买其他Dr.Web个人用产品，比如说 Dr.Web Family Security？

游戏玩家们要小心了：Windows木马正在以作弊和修改程序为诱饵进行传播，目的是窃取加密货币和密码

导语

利用三个加载器的操作链

利用两个加载器的操作链

木马家族特征

结语

试驾2个月仅需8元：获取Dr.Web Security Space授权保护您的电脑

击败怪物Chimera的贝勒罗丰做梦也想不到的事：木马ChimeraWire借模仿人类行为提升网站访问量