Doctor Web：2019年3月病毒活动综述

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "主页" }, { box => "本月威胁" }, { box => "统计信息" }, { box => "加密器" }, { box => "危险网站" }, { box => "保护移动设备" } ] #FILE_REVIEW = 'https://st.drweb.com/static/new-www/news/2019/DrWeb_review_march_2018.pdf' %] [% BLOCK global.tpl_blueprint.content %]

2019.04.03

3月份，Doctor Web公司病毒分析人员对威胁Counter-Strike 1.6玩家的木马进行了研究，目前的主要威胁在3月份与2月份相比出现动态变化。例如，Trojan.MulDrop8.60634的活跃度下降了2/3，而Trojan.Packed.24060和Adware.OpenCandy.243等威胁数量有所增加。此外，添加到Dr.Web不推荐和危险网站数据库中域名数量变少，而Doctor Web公司技术支持部门收到的数据解密申请增多。

Threat of the month

3月份，Doctor Web公司分析人员发布了Belonard木马的研究结果，该木马利用Counter-Strike 1.6 Steam客户端零日漏洞，入侵到受害者计算机后会替换客户端文件并创建游戏代理服务器来感染其他用户。Belonard木马创建的CS 1.6恶意服务器占Steam上注册的官方服务器总数的39％。目前，Dr.Web反病毒产品能够侦测所有Belonard木马模，Dr.Web产品用户不会再受到威胁。

木马更多信息

Doctor Web统计服务器收集的数据结果

本月的威胁：

Trojan.Packed.24060

安装恶意浏览器扩展，将搜索引擎结果重定向到其他网站。

Adware.Softobase.12

传播过时软件的安装程序。更改浏览器设置。

Adware.OpenCandy.243

用于安装不同软件的应用家族。免费应用程序开发人员使用该家族程序获利。

Adware.Ubar.13

在设备上安装不良软件的Torrent客户端。

Trojan.Starter.7394

一种在用户设备启动其他恶意软件的木马。

下列威胁数量有所减少：

Trojan.MulDrop8.60634

在系统中安装其他木马。所有已安装的组件都包含在木马Trojan.MulDrop中。

Adware.Downware.19283

通常同盗版内容一同传播的安装程序。安装后能够更改浏览器设置并安装其他不良程序。

邮箱流量恶意程序统计

Exploit.ShellCode.69

一种利用漏洞CVE-2017-11882的Microsoft Office Word恶意文件。

W97M.DownLoader.2938

利用办公应用漏洞的木马下载器家族。用于在受攻击计算机下载其他恶意程序。

Exploit.Rtf.CVE2012-0158

修改过的Microsoft Office Word文档，利用CVE2012-0158漏洞执行恶意代码。

Trojan.SpyBot.699

一种多模块银行木马，网络犯罪分子利用这一木马下载各种应用并在被感染设备上启动，执行收到的指令。该木马旨在从银行账户盗取资金。

JS.DownLoader.1225

一种用JavaScript语言编写的恶意脚本家族，可在电脑上下载和安装其他恶意程序。

Trojan.PWS.Stealer.23680

用于窃取被感染计算机密码及其他机密信息的木马家族。

加密器

3月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者：

• Trojan.Encoder.858 — 28,39%;
• Trojan.Encoder.18000 — 9,54%;
• Trojan.Encoder.27210 — 4,25%;
• Trojan.Encoder.11464 — 4,14%;
• Trojan.Encoder.11539 — 4,14%;
• Trojan.Encoder.567 — 2,76%;
• Trojan.Archivelock — 2,34%.

危险网站

2019年3月份Dr.Web不推荐网站和恶意网站数据库新添270 227个互联网地址。

2019.02	2019.03	增幅
+ 288 159	+ 270 227	- 6,63%

移动恶意软件和不良软件

3月份，技术人员在Google Play目录中侦测到新的恶意程序，包括伪装成在线赚钱程序进行传播的Android.FakeApp家族木马。此类木马加载邀请用户回答赞助公司问题的网站。不法分子承诺潜在受害者参与调查后可获取奖励。为了获取奖励，用户还需要支付转账手续费或个人确认费。用户将钱财转给诈骗分子后将一无所获。

同时技术人员还发现新木马Android.HiddenAds，此类木马在其他程序窗口和系统界面上方不断显示广告横幅，使安卓设备难以运行。

此外，不法分子仍继续传播银行木马。我公司在3月下旬介绍过其中一个银行木马，该恶意程序又称Flexnet，盗取用户手机账户和银行账户中的钱财。

3月末，病毒分析人员发布了能够绕过Google Play服务器下载插件的常用安卓浏览器UC Browser的漏洞信息，不法分子能够利用这一功能传播木马。

3月份最值得注意的移动安全事件有:

• 在UC Browser浏览器中发现漏洞；
• 恶意程序在Google Play进行传播；
• 银行木马正在传播。

3月份移动病毒情况更多详情请参阅移动威胁综述.

[% END %]