Doctor Web:2025年第三季度病毒活动综述
2025.10.01
受到勒索木马感染的用户最常遇到的加密器是 Trojan.Encoder.35534、Trojan.Encoder.35209 和 Trojan.Encoder.35067。
7月份我公司技术专家通告窃取加密货币和密码 Trojan.Scavenger 家族木马正在传播。攻击者将其伪装成游戏修改程序、作弊程序和补丁进行传播。这些木马病毒利用合法的应用程序进行启动,利用的手段中包括DLL搜索顺序劫持漏洞。
8月,我们的病毒分析师预警多功能移动设备后门 Android.Backdoor.916.origin 正在传播,该后门主要针对的是俄罗斯企业。网络犯罪分子通过远程控制后门来窃取机密数据并进行监视活动。
同月,我公司反病毒实验室发布关于Scaly Wolf组织针对一家俄罗斯机械工程公司发起的针对性攻击的研究报告。攻击者使用多种恶意工具,其中最主要的是模块式后门Updatar。攻击者试图利用这一后门获取被感染计算机的机密数据。
第三季度,互联网分析师再度发现多个虚假的Telegram网站以及欺诈性的金融资源。此外,在过去三个月中,我们的专家在 Google Play 上记录到数十个恶意应用和不良应用,其中包括给用户订阅付费服务的 Android.Joker 木马和 Android.FakeApp 假冒应用。
第三季度主要趋势
- 在受保护设备侦测到的威胁数量下降
- 进攻所使用的独特新威胁数量增加
- 出现新的即时通讯软件Telegram伪网站及金融类诈骗网络资源
- 专门窃取加密货币和密码的 Trojan.Scavenger 恶意软件在持续传播
- Android.Backdoor.916.origin 后门程序被用于监视俄罗斯商界人士和窃取机密数据
- 广告木马 Android.MobiDash 成为安卓设备的主要威胁
- 广告木马 Android.HiddenAds 活跃度连续两个季度持续下降
- Google Play出现众多新威胁
Doctor Web统计服务收集的数据
2025年第三季度最常见威胁:
- VBS.KeySender.7
- 恶意脚本,无限循环搜索带有文本 mode extensions、разработчика 和 розробника 的窗口,并向其发送Escape 按钮被按事件,迫使窗口关闭。
- Adware.Downware.20091
- 广告软件,经常用于盗版软件的中转安装器。
- Trojan.Siggen31.34463
- 用Go编程语言编写的木马程序,专门用于向目标系统植入各类挖矿工具和广告软件。为DLL文件形式,存储路径为 %appdata%\utorrent\lib.dll。木马利用 torrent 客户端 uTorrent 的 DLL 搜索顺序劫持漏洞来进行启动。
- Adware.Ubar.20
- 捆绑安装不良软件的 torrent 客户端。
- JS.Siggen5.44590
- 被植入公共 JavaScript 库 es5-ext-main 的恶意代码,会在软件包安装到处于俄罗斯时区的服务器时展示特定的消息。
邮箱流量恶意程序统计数据
- W97M.DownLoader.2938
- 利用 Microsoft Office文档漏洞的木马下载器家族,功能是将其他恶意软件下载到受攻击的计算机。
- Exploit.CVE-2017-11882.123
- Exploit.CVE-2018-0798.4
- Microsoft Office 漏洞利用程序,可执行任意代码。
- JS.Phishing.745
- 用于生成钓鱼网页的恶意 JavaScript 脚本。
- JS.Muldrop.371
- 在系统安装有效负载的恶意 JavaScript 脚本。
加密器
2025年第三季度勒索木马受害者的文件解密申请量较第二季度上升3.02%。
Doctor Web公司技术支持部门接收到的解密申请量动态:
2025年第二季度最常见的加密器:
- Trojan.Encoder.35534 — 占用户申请的 26.99%
- Trojan.Encoder.35209 — 占用户申请的 3.07%
- Trojan.Encoder.35067 — 占用户申请的 2.76%
- Trojan.Encoder.41542 — 占用户申请的 2.15%
- Trojan.Encoder.29750 — 占用户申请的 1.84%
网络诈骗
2025年第三季度,我公司互联网分析师再次记录到出现虚假 Telegram网站,其中包括诈骗者用来获取用户帐户访问权限的网站:
此外,金融类欺诈网站再度活跃。其中一个以所谓的苹果公司打造的"未来投资平台"——Apple Trade AI为诱饵,诱骗用户上钩。网络犯罪分子向潜在受害者承诺每月赚取金额可超过4000美元,但用户需注册并提供个人信息才能"使用"服务。
其他诈骗网络平台则打着"参与Meta全新投资平台"的旗号,承诺用户能"建立月入4000美元以上的稳定收入来源",但想要使用该"平台"的用户必须先完成问卷调查及注册流程。
我们的专家还发现了一批新型投资仿冒平台,声称可以通过WhatsApp中的交易机器人获利。
而使用这些承诺的服务前是要求潜在受害者提供以下个人数据:
部分欺诈网站是专门针对特定国家受众,其中一些瞄准的是独联体国家用户,犯罪分子以"开启封闭的投资市场"为诱饵,宣称可通过金融平台INSIDER X获得独家投资渠道。用户被要求"提交申请"并在提供个人信息后才能参与。
一个针对俄罗斯用户设计的诈骗模式是邀请用户参与问卷调查,并承诺之后可访问一个与大型油气企业及俄政务门户网站有着所谓关联的"投资平台"。
还有一些欺诈网站则冒充俄罗斯银行的官方服务平台,以"周赚五万卢布起"为诱饵诱导用户注册:
其他多个国家也再次出现的类似诈骗模式,其中一个网站针对的是吉尔吉斯斯坦用户,打着"全民计划"的旗号,以投资该国规模最大的企业为诱饵:
另一个网站则谎称与某格鲁吉亚银行有关联,可让用户加入一个所谓的"投资平台":
类似的诈骗手段还有仿冒哈萨克斯坦一家银行的官网,承诺用户每月最少可赚取6万坚戈:
另一个在线资源的诈骗者是伪装成一家土耳其石油和天然气公司,为潜在受害者提供所谓成为投资平台会员的机会,承诺“每天收入可高达 9,000 里拉”:
与此同时,诈骗者继续利用各种政府支付和补偿政策进行诈骗。在一个针对哈萨克斯坦用户的不良网站上谎称访问者可以查询政府补偿金,并可获得高达500万坚戈的补偿金:
移动设备恶意软件和不良软件
根据移动设备保护产品Dr.Web Security Space的侦测统计,2025年第三季度,在受保护的设备上最频繁侦测的是 Android.MobiDash 广告木马。之前排在第一的 Android.HiddenAds 与上一季度相比退居第二,排在之后的是恶意虚假程序 Android.FakeApp。
与第二季度相比银行木马 Android.BankBot 家族的攻击增加,而 Android.Banker 和 Android.SpyMax 家族木马在受保护设备的侦测频率有所降低。
八月,我公司公司的专家 发布对多功能后门程序 Android.Backdoor.916.origin 的研究报告。网络犯罪分子利用这个后门窃取机密数据并对俄罗斯商界人士进行监视活动。
在过去的三个月Google Play官方应用商店中发现的恶意及不良软件已超过70个,其中包括给用户自动订阅付费服务的 Android.Joker 木马、虚假应用 Android.FakeApp 以及谎称可将虚拟奖励兑换成真实货币的软件 Program.FakeMoney.16。
第三季度主要移动安全事件:
- 广告木马 Android.MobiDash 活动增加
- 广告木马 Android.HiddenAds 活动减弱
- 银行木马 Android.BankBot 侦测量增加
- 银行木马 Android.Banker 和间谍软件 Android.SpyMax 攻击次数减少
- Android.Backdoor.916.origin 后门程序被用于监视俄罗斯商界人士
- Google Play目录中出现新威胁
2025年第三季度份移动威胁更多详情请参阅移动威胁综述。