DoctorWeb：2024年第三季度病毒活动综述

01.10.2024

病毒报告 | Hot news | Doctor Web公司新闻 | 病毒新闻

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "主要事件" }, { box => "统计信息" }, { box => "加密器" }, { box => "网络诈骗" }, { box => "移动设备威胁" } ] #FILE_REVIEW = 'https://st.drweb.cn/static/new-www/news/2024/september/common_viral_review_III_2024_en.pdf' %] [% BLOCK global.tpl_blueprint.content %]

2024.10.01

Dr.Web产品侦测统计信息显示，2024年第三季度份侦测到的威胁总数较第二季度增长10.81%，新威胁数量下降4.73%。最常侦测到的威胁仍是广告应用。恶意脚本、广告木马和藏身于其他木马以增加侦测难度的恶意软件也十分常见。电子邮件流量中最常见的是恶意脚本和利用MicrosoftOffice文档漏洞的应用。

安卓移动设备最常见的威胁是用于诈骗目的的Android.FakeApp木马、Android.HiddenAds广告木马以及具有不同功能的恶意软件Android.Siggen。与此同时，我们的技术人员在8月份侦测了一个新的木马Android.Vo1d，感染了近1,300,000台安卓操作系统的电视机顶盒。此外，第三季度我公司反病毒实验室在GooglePlay目录中发现了许多新威胁。

第三季度主要趋势

广告应用再次成为侦测量最多的威胁
邮箱流量中的威胁主要是恶意脚本和钓鱼文件
侦测到感染量超过1,000,000台安卓电视机顶盒的安卓后门Android.Vo1d
GooglePlay目录出现新威胁

DoctorWeb统计服务收集的数据

第三季度最常见威胁：

Adware.Downware.20091
Adware.Downware.20477: 广告软件，经常用于盗版软件的中转安装器。
JS.Siggen5.44590: 添加到公共JavaScript库es5-ext-main中的恶意代码。如果安装数据包的是俄罗斯时区的服务器，会显示特定消息。
Trojan.StartPage1.62722: 替换浏览器起始页的恶意程序。
Adware.Ubar.20: 向设备安装不良软件的torrent客户端。

邮箱流量恶意程序统计数据

JS.Siggen5.44590: 添加到公共JavaScript库es5-ext-main中的恶意代码。如果安装数据包的是俄罗斯时区的服务器，会显示特定消息。
JS.Inject: 利用JavaScript语言编写的恶意脚本家族，将恶意脚本嵌入网页的HTML代码。
LNK.Starter.56: 检测专门方式生成的快捷方式，该快捷方式通过可移动驱动器分发，利用磁盘图标来误导用户。打开时会从与快捷方式位于同一介质的隐藏目录启动恶意VBS脚本。
W97M.DownLoader.6154: 利用MicrosoftOffice文档漏洞的木马下载程序，用于将其他恶意程序下载到被攻击的计算机上。
Trojan.AutoIt.1410: 用AutoIt脚本语言编写的木马Trojan.AutoIt.289的打包版本，作为一些恶意应用，如挖矿程序、后门和自传播模块的一部分进行传播。Trojan.AutoIt.289执行各种恶意操作，使主要的有效恶意负载难以被侦测。

加密器

2024年第三季度用户因木马勒索软件而提交的文件解密请求量较第二季度下降了15.73%。

DoctorWeb公司技术支持部门接收到的解密申请量动态：

第三季度最常见的加密器：

Trojan.Encoder.35534 — 19.38%
Trojan.Encoder.3953 — 9.42%
Trojan.Encoder.38200 — 3.99%
Trojan.Encoder.26996 — 2.89%
Trojan.Encoder.35067 — 2.72%

网络诈骗

2024年第三季度，进行在线诈骗的不法分子继续传播带有各种网络钓鱼链接的垃圾邮件。例如，俄语用户再次收到冒名知名网店发送的消息，其中有些是邀请参加抽奖或接收礼物，而一旦点击此类电子邮件中的链接，用户会被带到假借“接收”所谓特定奖品或奖金来骗取用户支付佣金的欺诈网站。

诈骗者谎称知名网店向用户提供所谓208760卢布“奖金”的邮件

另一些信件则是称用户在一家大型电子商店购买商品可获得折扣，邮件中的链接指向的是一个假冒网站，模仿店家官网的设计风格。下“订单”时要求用户提供个人信息以及银行卡信息。

激活促销码”购买电子产品的欺诈邮件

诈骗者还大量发送与金融相关的垃圾邮件，如大额汇款入账“确认”函。下面是针对英语用户的此类信件示例，其中的链接指向一个登录银行客户帐户的钓鱼页面，外观与信贷机构真实网站的登录页面类似。

谎称用户需要确认收到1218.16美元的邮件

假冒账户登录的钓鱼页面

在针对日本受众的信件也再次出现所谓来自信贷机构的虚假通知。例如当月银行卡消费信息。其中一封邮件中的钓鱼网站的链接经过了伪装处理：用户在信中看到的是真实银行网站的链接地址，但点击这些链接后进入的是诈骗网站。

信中所有链接实际指向都是钓鱼网站

法语用户（如比利时用户）接收到的钓鱼邮件是银行账户“被封”通知，所谓用于“解锁”账户的链接实际上打开的是诈骗网站。

诈骗者借“封号”引起用户恐慌

针对俄罗斯用户大量传播的垃圾邮件则是再次假借知名银行名义邀请潜在受害者成为投资者。此类邮件中的链接以获取投资服务访问权限为幌子，诱骗用户提供个人信息。

假借银行名义邀请用户参加所谓测试并成为投资者的钓鱼邮件

同时，我公司互联网分析师还发现一些新的网络钓鱼网站是专门针对加密货币所有者。其中一个假借一家大型加密货币交易所的名义通知用户有比特币转账未入账，“完成”入账需支付相应“费用”，当然，实际上受害者并没有收到什么货币转账，而是把自己的资产转给了骗子。

诈骗网站谎称用户有未入账的比特币转账

此外，还发现了模仿VKontakte社交网络外观的钓鱼网站，邀请访客打开几个装有礼物的虚拟盒子来参加某种抽奖活动。当潜在受害者因打开了所谓“正确”的盒子而赢得一大笔钱后，会看到支付一定费用才能获得“奖金”的通知。

诈骗网站邀请访问者“试试运气”

访问者“获得”194562卢布的通知

了解Dr.Web不建议访问网站更多详情

移动设备恶意软件和不良软件

根据Dr.Web产品对安卓移动设备的侦测统计，2024年第三季度份在受保护设备最常侦测到的是用于各种诈骗模式的Android.FakeApp家族恶意应用，其次是Android.HiddenAds木马广告应用，侦测量第三的是木马Android.Siggen。

在过去的三个月里，我公司专家在GooglePlay目录中发现了许多新威胁，其中包括各种版本的Android.FakeApp和Android.HiddenAds木马。此外，还记录到针对Android操作系统电视机顶盒的进攻：Android.Vo1d后门感染了来自197个国家用户的约1,300,000台设备。此后门将其组件置于机顶盒的系统区域，并在攻击者的命令下悄悄下载并安装第三方程序。

第三季度份主要移动安全事件：

侦测到Android.Vo1d后门，被其感染的电视机顶盒超过一百万台
Android.FakeApp家族恶意应用十分活跃
Android.HiddenAds广告木马十分活跃
GooglePlay目录中再次出现新威胁

第三季度份移动威胁更多详情请参阅移动威胁综述.

[% END %]