2018.11.30
在2018年秋季最后一个月发生了多起信息安全事件。11月份,Doctor Web公司技术人员对一种可以从被感染设备删除反病毒软件的Linux挖矿木马进行了研究。不久后又发现一种Windows木马点击器采用特别方式入侵潜在受害者的计算机。病毒编写者对安卓移动平台的兴趣也没有减弱,11月份出现的多个新的安卓恶意程序,都已添加到Dr.Web病毒库。
11月主要趋势
- 一种Windows木马点击器正在传播
- 出现一种能够删除反病毒软件的Linux挖矿木马
- 发现新的安卓恶意程序
本月威胁
添加到Dr.Web病毒库并被命名为Trojan.Click3.27430的木马是一种用来伪造网站访问量的恶意程序,伪装成DynDNS应用程序进行传播,称可以将子域绑定到没有静态IP地址的计算机。不法分子创建了一个专门的网站用来传播该木马。
从这一网站会下载一个包含可执行文件setup.exe的压缩包,这个可执行文件实际上就是一个下载器,可从互联网下载另一个伪装成ARJ压缩包的文件,而这个文件是一个点滴木马,可将木马和真正的DynDNS应用安装到系统。如果用户从被感染的计算机进行卸载,则只能删除DynDNS程序,Trojan.Click3.27430仍将保留在系统中并继续进行恶意活动。关于该木马及其运行原理的更多详情请参阅我公司网站上发表的文章.
Doctor Web统计服务器收集的数据结果
- Trojan.SpyBot.699
- 一种多模块银行木马,网络犯罪分子利用这一木马下载各种应用并在被感染设备上启动,执行收到的指令。该木马旨在从银行账户盗取资金。
- JS.DownLoader
- 一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意程序。
- JS.Miner
- 用于暗中获取(采集)加密电子货币的JavaScript脚本家族。
- Trojan.MulDrop
- 一种在被感染计算机安装其他恶意程序的木马家族代表。
- Trojan.Encoder.11432
- 一种又被称为WannaCry的加密蠕虫。
邮箱流量恶意程序统计
- JS.DownLoader
- 一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意程序。
- Trojan.SpyBot.699
- 一种多模块银行木马,网络犯罪分子利用这一木马下载各种应用并在被感染设备上启动,执行收到的指令。该木马旨在从银行账户盗取资金。
- JS.Miner
- 用于暗中获取(采集)加密电子货币的JavaScript脚本家族。
- Trojan.Encoder.26375
- 一种加密计算机文件并要求受害者支付解密的勒索木马家族代表。
加密器
11月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
- Trojan.Encoder.858 — 申请的 32.15%;
- Trojan.Encoder.11464 — 申请的 11.17%;
- Trojan.Encoder.11539 — 申请的 10.80%;
- Trojan.Encoder.25574 — 申请的 4.91%;
- Trojan.Encoder.567 — 申请的 1.35%;
- Trojan.Encoder.10700 — 申请的 1.35%.
Dr.Web Security Space for Windows抵御木马加密器
危险网站
网络钓鱼网站单独构成一个危险的不推荐网站类别。网络钓鱼是一种网络欺诈,其最终目的是盗取受害者的机密信息,比如互联网服务的登录名、密码以及社交网络的验证信息。为此,不法分子模仿真正的互联网资源创建虚假网站,并通过各种方法吸引用户登录。随后网络犯罪分子可以利用所得信息群发广告,用来进行诈骗或勒索。
11月,Doctor Web公司技术人员记录到多起此类欺诈邮件的群发事件。网络犯罪分子以邮箱服务管理员的名义向用户发送邮件,称已收到用户停用邮箱的申请,撤销申请需打开邮件中的链接。
潜在受害者点击链接会打开包含电子邮箱用户名和密码的网络钓鱼网站。无论访问者输入什么内容都会显示错误,而所填入的信息会被立即发送给不法分子。Doctor Web公司技术人员已发现多个网络钓鱼网站,其地址已添加到SpIDer Gate的不推荐网络资源库。
2018年11月份Dr.Web不推荐网站和恶意网站数据库共新添231 074个互联网地址。
| 2018.10 | 2018.11 | 增幅 |
|---|---|---|
| + 156 188 | + 231 074 | + 47.94% |
Linux恶意程序
Linux.BtcMine.174并非是Doctor Web公司技术人员侦测到的首个利用被感染计算机资源获取加密电子货币的Linux木马。这一恶意程序可以在被感染设备中查找并删除已安装的反病毒软件。
该木马是一个shell脚本,包含1000多行代码,由从不法分子服务器下载的多个组件组成。恶意脚本成功安装后,会从互联网下载木马Linux.BackDoor.Gates.9,该木马的功用是组织DDoS攻击,并执行不法分子的指令。
Linux.BtcMine.174安装到系统后,会搜索其他挖矿木马,找到后就会终止其进程。如果Linux.BtcMine.174没有以超级用户(root)的名义启动,则会利用漏洞提高权限。如果恶意程序找到运行中的反病毒软件服务,就会将其终止,并利用程序包管理器删除反病毒产品的安装目录和文件。此外木马还会下载并在被感染设备上启动Rootkit,收集之前通过ssh协议连接的网络节点信息并试图将其感染。该恶意程序更多详情请参阅我公司网站发布的综述。
其他信息安全事件
根据Doctor Web公司服务器收集的被感染计算机和邮件流量统计数据,Trojan.SpyBot.699是11月份最常见的恶意程序之一。该木马由RTM黑客组织传播,是一个多模块银行木马。
Trojan.SpyBot.699的恶意功能集中于设备内存中的core.dll动态库。木马将自身添加为Windows自启动程序,对传输到控制服务器的所有数据都进行加密。
Trojan.SpyBot.699可以按照不法分子的指令下载可执行文件、将其保存到磁盘并启动、在不保存的情况下下载并启动程序、将动态库加载到内存、自我更新、将数字证书安装到系统存储器并执行其他外部指令。
该恶意程序可以在已启动的进程、打开窗口的名称和存储在磁盘的文件中查找银行客户端,还会在浏览器cookies文件中查找银行客户端的系统信息。不法分子在收到所需信息后,会利用Trojan.SpyBot.699以及所下载的模块对受攻击系统进行仔细研究,确保其中存在其他木马,并在财务软件和银行客户端中植入恶意软件。网络犯罪分子的最终目标是窃取受害者银行账户中的资金。Dr.Web反病毒产品能够侦测Trojan.SpyBot.699及目前发现的可搭配使用的恶意模块,并将其删除。
移动恶意软件和不良软件
11月份,Doctor Web公司病毒分析人员侦测到通过Google Play目录传播的木马Android.Banker.2876。不法分子利用这一木马盗取多家欧洲银行的客户的机密信息。Google Play上还存在其他威胁,包括下载并试图安装恶意程序的木马下载器Android.DownLoader.832.origin。技术人员发现多个用来非法获利的Android.FakeApp家族木马。此外还侦测到嵌有广告模块Adware.HiddenAds的应用程序。
11月份最值得注意的移动安全事件有:
- 恶意应用和不良应用在Google Play中传播。
11月份移动病毒情况更多详情请参阅移动威胁综述。
