Doctor Web:2015年11月病毒活动综述

病毒报告 | Doctor Web公司新闻

2015.11.30

2015年11月,令人印象深刻的病毒事件是名为Linux.Encoder.1的Linux木马加密器得以传播,这一木马加密器并非威胁Linux用户的首个加密器:2014年8月Doctor Web公司就已侦测到木马Trojan.Encoder.737,能够加密保存在Synology公司网络数据库中的文件。此外,在Linux.Encoder.1开始传播之前这一恶意程序至少已存在两个版本。但Linux.Encoder.1传播范围更为广泛:根据Google搜索引擎的数据显示,这一木马加密器已在全球范围内感染了3000多个Web网站。

11月主要趋势

  • 危险的木马加密器Linux.Encoder.1感染了3000多个网站
  • 可未经授权访问被感染计算机的恶意程序正在传播
  • 出现针对Microsoft Windows和Android移动平台的新木马

本月威胁

WordPres、 Magento等常用CMS的Web网站用户成为木马加密器Linux.Encoder.1的主要攻击对象。不法分子利用一个尚未被安全技术人员确定的漏洞进行攻击。专家称,运行这一木马加密器并不要求root权限,具有www-data用户权限,即以Web服务器名义运行的应用程序的权限即可。11月12日在Google搜索含不法分子勒索要求的文件的名称,就会看到Linux.Encoder.1已感染了约2000多个网站,而截止11月24日,被感染的互联网资源已超过3000个。

screen #drweb

木马利用先前嵌入到内容控制系统的shell脚本在受攻击Web网站所在服务器启动。不法分子利用这一脚本将另一文件放置到服务器同一文件夹,此文件是点滴木马 Linux.Encoder.1,根据网络犯罪分子指令激活,确定服务器上运行的操作系统架构(32或64位版本的Linux),之后从点滴木马中提取并启动木马加密器,随后删除点滴木马。加密木马在受攻击服务器上启动后,加密具有记录权限的文件夹中的文件。随后这一木马将名为README_FOR_DECRYPT.txt的文件保存在服务器磁盘中,这一文件包括文件解密操作说明和不法分子的勒索要求。如在某些情况下木马加密器获取了更高的权限,则其恶意活动不会仅限于Web服务器的一个文件夹。

screen #drweb

Web网站感染这一恶意程序的原因有很多:管理员错误设置Web服务器、没有及时安装内容控制系统的安全更新、使用的是CMS旧版本、WordPress、Magento付费组件或模块已被入侵等。

由于Linux.Encoder.1病毒编写者在编写木马加密器代码时犯了一些重大错误,被这一木马加密器加密的信息能够成功解密。此恶意程序的运行特点请参阅Doctor Web公司网站发布的新闻和对这一木马的更多研究

清除工具Dr.Web CureIt!统计数据结果

screen #drweb

  • Trojan.Crossrider1.42770, Trojan.Crossrider1.50845

    木马家族代表,用于显示各种可疑广告。

  • Trojan.DownLoad3.35967

    一种从互联网下载并在受攻击计算机启动其他恶意程序的木马下载器家族代表。

  • Trojan.LoadMoney

    由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件。

  • Trojan.Siggen6.33552

    用于安装其他危险软件的恶意程序。

Doctor Web统计服务器收集的数据结果

screen #drweb

  • Trojan.InstallCube

    在用户计算机安装各种不需要的应用程序和不良应用程序的下载器程序家族。

  • Trojan.Installmonster

    使用联盟程序Installmonster创建的恶意程序家族。此类应用程序在受害者计算机安装各种不良软件。

  • Trojan.Siggen6.33552

    用于安装其他危险软件的恶意程序。

  • Trojan.DownLoad3.35967

    一种从互联网下载并在受攻击计算机启动其他恶意程序的木马下载器家族代表。

  • Trojan.Zadved

    是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息。

邮箱流量恶意程序统计

screen #drweb

  • Trojan.InstallCube

    在用户计算机安装各种不需要的应用程序和不良应用程序的下载器程序家族。

  • Trojan.Encoder.567

    一种加密受害者计算机磁盘中的文件并要求支付解密的勒索木马家族代表。这一木马能够加密包括下列类型的重要用户文件:.jpg、.jpeg、.doc、.docx、.xls、xlsx、.dbf、.1cd、.psd、.dwg、.xml、.zip、.rar、.db3、.pdf、.rtf、.7z、.kwm、.arj、.xlsm、.key、.cer、.accdb、.odt、.ppt、.mdb、.dt、.gsf、.ppsx、.pptx。

  • Trojan.PWS.Stealer

    用于在被感染计算机窃取密码和其他机密信息的木马家族。

  • W97M.DownLoader.726

    一种利用办公软件漏洞的木马下载器,功用在于将其他恶意程序下载到受攻击计算机。

僵尸网络

Doctor Web公司技术人员继续仔细监测由感染文件型病毒Win32.Rmnet.12的计算机创建的两个子僵尸网络的活动。这些僵尸网络在2015年11月份的活动情况见下图:

screen #drweb

screen #drweb

Rmnet — 不需用户参与即可进行传播的文件型病毒家族,能够将第三方内容嵌入到用户浏览的Web网站(理论上,网络犯罪分子能够利用这种方式获取受害者银行信息访问权限),窃取cookies文件和最流行的FTP客户端密码,并执行不法分子发出的各种指令。

同以往一样,由不法分子使用文件型病毒Win32.Sector创建的僵尸网络仍继续活动,该僵尸网络日均活动见下图:

screen #drweb

此恶意程序具有以下破坏性功能:

  • 从P2P网络下载并在被感染机器上运行不同的可执行文件;
  • 嵌入到被感染计算机的启动进程;
  • 能够阻止某些反病毒程序运行并阻止访问反病毒产品厂商的网站;
  • 感染本地磁盘和可移动载体上的文件对象(在感染过程中创建自启动文件autorun.inf)以及保存在共享网络文件夹的文件。

11月份,使用Linux木马 Linux.BackDoor.Gates.5进行的DDoS攻击数量持续下降。遭受网络犯罪分子攻击的互联网资源数量有3641个,与上个月相比降低了27.9%。从攻击数量来看,中国位于绝对首位,美国位于第二位。

screen #drweb

木马加密器

screen #drweb

2015年11月最常见的加密器:

З向技术支持部提门交文件解密申请的不仅是俄罗斯用户,也有很多国外用户。Doctor Web公司在积极帮助被木马加密器所扰的欧洲用户。同时,11月份感染木马加密器Linux.Encoder.1的网站用户也向Doctor Web公司技术支持部门求助。应注意到,如今用于解密Linux.Encoder.1受损文件的常用工具不会删除不法分子嵌入到被感染服务器的shell脚本,不法分子利用此类脚本可再次感染系统,因此Doctor Web公司技术支持部门技术人员建议所有申请帮助解密文件的Web网站所有人要从系统中清除第三方恶意对象,以防止不法分子再次利用这一脚本发动攻击。

Dr.Web Security Space 11.0 for Windows
抵御木马加密器

大蜘蛛基础版Dr.Web Anti-virus for Windows授权不包含此功能。

防止数据丢失
防止数据丢失防止数据丢失

详情

Linux恶意程序

广泛传播的木马加密器Linux.Encoder.1 绝非唯一威胁Linux操作系统用户的加密器。这一家族恶意程序在Linux.Encoder.1出现之前就已存在至少两个加密器版本,但长期未引起反病毒公司分析人员的注意。

与利用随机数发生器的木马加密器不同,名为Linux.Encoder.2的木马使用数据库 OpenSSL(而不是Linux.Encoder.1使用的PolarSSL)将信息以AES-OFB-128的模式进行加密。同时对每128个字节(即通过8个AES分组)进行上下文重复初始化。Linux.Encoder.2与这一木马加密器的另一执行过程还有很多重要差别。该恶意程序的更多详情请参阅我公司发布的相关介绍。

此外,在11月份Doctor Web公司病毒分析人员还侦测到木马Linux.Sshcrack.1,其功用在于通过按照字典选配用户名和密码(brute-force)的方法未经授权访问各种设备。

其他恶意程序

11月中旬,Doctor Web公司技术人员对统称为BackDoor.RatPack的一类恶意程序进行了研究。网络犯罪分子将其伪装成RTF格式的文档进行传播,受害者计算机上打开这一文档时,进行恶意文件解密并加以保存。值得注意的是,这一文件是安装程序,且具有有效的数字签名(几乎BackDoor.RatPack中的所有文件都是如此)。

screen #drweb

启动时,安装程序会在受攻击计算机上查找虚拟机、监视器程序、调试程序,随后检查系统中是否存在俄罗斯信贷机构的网上银行程序。其中有多个版本的共享软件工具Remote Office Manager是安装器中含带的合法软件,Doctor Web公司技术人员至少记录到有不同配置的三种版本。恶意程序通过拦截一系列系统功能在Windows通知区域和任务栏隐藏这一工具的图标,使用户无法及时发现。可以肯定的是,不法分子利用BackDoor.RatPack远程控制被感染计算机后可访问受害者银行账户和机密信息。该病毒事件详情请参阅Doctor Web公司网站发布的相关介绍

危险网站

2015年11月Dr.Web不推荐网站和恶意网站数据库新添670 545个互联网地址。

2015.102015.11增幅
+ 264 970+ 670 545+ 153 %

不推荐网站

安卓恶意软件和不良软件

11月对于移动设备用户来说相对平静。但网络犯罪分子仍继续利用各种恶意软件和不良软件感染智能手机和平板电脑,这些软件已及时添加到Dr.Web病毒库。Doctor Web公司病毒分析人员侦测到一种讨厌的安卓广告程序,可利用木马安装到系统中并在用户启动的程序上方显示烦人的通知。同时, 11月份勒索木马、银行木马、短信木马等危险程序也在威胁安卓用户。此外,还侦测到一种感染iOS设备的新木马变种。

11月份最值得注意的移动安全事件有:

  • 出现一种在用户已启动程序的窗口上方显示广告的不良安卓程序
  • 出现一种新的iOS危险木马变种

11月份移动病毒情况的更多详情请参阅移动威胁综述

和 Dr.Web 一起扩展知识

病毒统计信息 病毒介绍信息库 所有病毒综述 live实验室

最新新闻 全部新闻