Doctor Web:2016年12月病毒活动综述
2016.12.26
2016年最后一个月Doctor Web公司技术人员侦测到一种能够感染设备系统数据库的安卓木马,并对能够安装不良应用的一种Windows恶意程序进行了研究。12月下半旬Doctor Web公司技术人员还在多个常用移动设备的固件中侦测到了安卓木马。
12月主要趋势
- 一种安装不良应用的恶意程序正在传播
- 多种移动设备的固件中出现木马
- 出现一种能够感染系统数据库的安卓木马
本月威胁
很多现代木马不经用户同意就会下载各种应用并将其安装到被感染电脑:不法分子利用的是所谓的联盟服务,通过安装软件获取此类联盟服务的付费。通常此类木马的架构都比较简单,但Trojan.Ticno.1537却并非如此。启动后,该恶意程序会利用多种方法确定是否存在虚拟环境和调试工具,只有在受攻击计算机上没有侦测到可能影响其运行的对象时才启动。启动后,Trojan.Ticno.1537会将名为1.zip的文件保存到磁盘中并弹出类似标准Microsoft Windows文件保存窗口的对话窗口:
在窗口左下角会有“高级参数”链接,用户点击链接后,Trojan.Ticno.1537会显示准备安装的程序列表,其中包括Amigo浏览器、Mail.Ru公司开发的HomeSearch@Mail.ru以及Trojan.ChromePatch.1, Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1 和 Adware.Plugin.1400木马。 Trojan.Ticno.1537构造及运行原理详情请参阅Doctor Web公司发布的综述。
清除工具Dr.Web CureIt!统计数据结果
- Trojan.InstallCore
一种不良应用程序和恶意应用程序的安装器家族。 - Trojan.BtcMine.793
意在暗中利用被感染计算机的计算资源以获取(开采)各种加密电子货币,例如比特币的恶意软件家族代表。 - Trojan.LoadMoney
由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件。 - Trojan.Triosir.687
作为浏览器插件(加载项)的木马家族代表,用于在浏览网页时显示烦人的广告。
Doctor Web统计服务器收集的数据结果
- JS.DownLoader
一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意软件。 - Trojan.InstallCore
一种不良应用程序和恶意应用程序的安装器家族。 - JS.Redirector
用JavaScript语言写成的恶意脚本家族,可将浏览器用户重定向至其他网页。 - BackDoor.IRC.NgrBot.42
2011年被信息安全技术人员首次侦测的一种非常常见的木马。此家族的恶意程序能够在被感染计算机执行接收到的不法分子指令,网络犯罪分子利用文本消息更换协议IRC(Internet Relay Chat)对其进行控制。
邮箱流量恶意程序统计
- JS.DownLoader
一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意软件。 - W97M.DownLoader
利用办公软件运行漏洞的木马下载器家族。旨在向被攻击的计算机下载其他恶意软件。
Dr.Web Bot for Telegram的数据结果
- Android.Locker.139.origin
用于勒索用户钱财的安卓木马家族代表。此类恶意程序的各种变种能够显示烦人的消息,称用户似乎触犯了法律并因此锁定其移动设备,用户需要支付一定的金额进行解锁. - Joke.Locker.1.origin
锁定移动设备屏幕并显示Windows操作系统蓝屏(BSOD,Blue Screen of Death)的安卓玩笑程序. - BackDoor.Bifrost.29284
一种能够在被感染设备中执行不法分子指令的后门木马家族代表。 - Trojan.PWS.Spy.11887
一种能够窃取包括用户密码在内的机密信息的Windows木马家族代表. - Android.HiddenAds.24
一种用来显示烦人广告的木马。
木马加密器
12月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
- Trojan.Encoder.858 — 申请的 37,99% ;
- Trojan.Encoder.761 — 申请的 12,27% ;
- Trojan.Encoder.567 — 申请的 4,11% ;
- Trojan.Encoder.3976 — 申请的 3,89% ;
- Trojan.Encoder.3953 — 申请的 1,70% 。
Dr.Web Security Space 11.0 for Windows
抵御木马加密器
大蜘蛛基础版Dr.Web Anti-virus for Windows授权不包含此功能。
| 防止数据丢失 | |
|---|---|
 |  |
危险网站
2016年12月Dr.Web不推荐网站和恶意网站数据库新添226 744个互联网地址。
| 2016.11 | 2016.12 | 增幅 |
|---|---|---|
| + 254 736 | + 226 744 | -10,98% |
12月份,Doctor Web公司病毒分析人员侦测到一种感染安卓设备系统数据库、注入到应用进程并暗中下载、安装程序的木马Android.Loki.16.origin,还侦测到不法分子植入到数十款移动设备固件中的木马 Android.DownLoader.473.origin 和 Android.Sprovider.7。这些恶意程序也会下载各种软件并试图进行安装。
12月份最值得注意的移动安全事件有:
- 出现一种感染系统数据库并注入到应用进程的安卓木马;
- 出现预置到多款安卓移动设备中的木马。
12月份移动病毒情况更多详情请参阅移动威胁综述。