Doctor Web:2025年第四季度病毒活动综述
2026.01.12
电子邮件流量中最常侦测到的是木马程序,包括下载器、密码窃取程序和投放器。此外,漏洞利用程序、后门程序和各种恶意脚本也再通过电子邮件传播。
受到勒索软件感染的用户最常遭遇的加密器是 Trojan.Encoder.35534、Trojan.Encoder.41868 和 Trojan.Encoder.29750。
10 月份,我们通报了一个针对安卓设备的后门程序 Android.Backdoor.Baohuo.1.origin,网络犯罪分子将其嵌在即时通讯软件Telegram X是修改版中。这个恶意软件会窃取 Telegram 帐户的登录名和密码以及其他机密数据。病毒编写者利用这个后门可管理被黑受害者的账户,还能完全控制即时通讯软件本身,以用户身份执行各种操作。
11 月,我公司反病毒实验室发布了一项研究报告,分析了 Cavalry Werewolf 黑客组织对俄罗斯政府机构发起的定向攻击。在分析过程中,Doctor Web 的专家识别出攻击者在其攻击活动中所使用的众多恶意工具,其中包括一些开源工具。我们对该组织的特征及其在受感染网络中的典型行为也进行了分析。
12 月,我公司官网发布专门介绍名为 Trojan.ChimeraWire 的独特木马的材料。该木马通过伪装真人用户操作来提升网站的访问量,规避反机器人机制的拦截,会根据攻击者提供的参数,在搜索引擎中自动搜索相关网站并在打开点击网页。有多个恶意应用程序可将Trojan.ChimeraWire 注入计算机,这些应用程序利用的是 DLL 搜索顺序劫持漏洞,并使用反调试技术来逃避侦测。
第四季度,我公司互联网分析团队发现了一些承诺潜在受害者可以快速轻松地赚钱的新诈骗网站。此外,还发现一些钓鱼网站和假冒网店的虚假网站。
同时,我们的专家在 Google Play 应用商店中发现新恶意软件,包括为安卓设备用户订阅付费服务的Android.Joker 木马以及用于实施各种诈骗活动的恶意应用Android.FakeApp。而Dr.Web Security Space移动设备保护产品的侦测统计数据则显示,针对安卓平台的银行木马活动有所增加。
第四季度主要趋势
- 在受保护设备侦测到的威胁数量增加
- 进攻所使用的独特新威胁数量下降
- 被勒索软件感染的文件解密请求增加
- 针对安卓设备用户的银行木马活动增多
- 入侵安卓用户的 Telegram 帐户的后门程序Android.Backdoor.Baohuo.1.origin正在传播
- Google Play出现新威胁
Doctor Web统计服务收集的数据
2025年第四季度最常见威胁:
- Trojan.Siggen31.34463
- 用Go编程语言编写的木马程序,专门用于向目标系统植入各类挖矿工具和广告软件。为DLL文件形式,存储路径为%appdata%\utorrent\lib.dll。木马利用 torrent 客户端 uTorrent 的 DLL 搜索顺序劫持漏洞来进行启动。
- Adware.Downware.20091
- 广告软件,经常用于盗版软件的中转安装器。
- VBS.KeySender.7
- 恶意脚本,无限循环搜索带有文本mode extensions、разработчика 和 розробника的窗口,并向其发送Escape 按钮被按事件,迫使窗口关闭。
- Trojan.BPlug.4268
- 侦测浏览器插件WinSafe的恶意组件。该组件是一个 JavaScript 脚本,会在浏览器不断显示广告。
- Adware.Siggen.33379
- 假冒的浏览器广告拦截器Adblock Plus,由其他恶意应用程序安装到系统,用于显示广告。
邮箱流量恶意程序统计数据
2025年第四季度邮箱流量中最常见的威胁:
- W97M.DownLoader.2938
- 利用 Microsoft Office文档漏洞的木马下载器家族,功能是将其他恶意软件下载到受攻击的计算机。
- Exploit.CVE-2017-11882.123
- Exploit.CVE-2018-0798.4
- Microsoft Office 漏洞利用程序,可执行任意代码。
- Trojan.AutoIt.1413
- 侦测木马 Trojan.AutoIt.289的打包版本,该木马使用 AutoIt 脚本语言编写,与其他恶意应用程序(包括挖矿程序、后门程序和自传播模块)捆绑在一起传播。Trojan.AutoIt.289 能够执行各种恶意操作,目的是增加主要有效恶意载荷的侦测难度。
- JS.Phishing.791
- 在系统安装有效负载的恶意 JavaScript 脚本。
加密器
2025年第四季度勒索木马受害者的文件解密申请量较第三季度上升1.15%。
Doctor Web公司技术支持部门接收到的解密申请量动态:
2025年第四季度最常见的加密器:
- Trojan.Encoder.35534 — 占用户申请的24.90%
- Trojan.Encoder.41868 — 占用户申请的4.21%
- Trojan.Encoder.29750 — 占用户申请的3.42%
- Trojan.Encoder.26996 — 占用户申请的2.68%
- Trojan.Encoder.30356 — 占用户申请的0.38%
网络诈骗
2025年第四季度,我公司网络分析师注意到有一些新的虚假网店出现。诈骗分子冒充平台诱骗潜在受害者参与类似轮盘赌的“旋转木马”游戏,声称有机会赢取奖品。经过多次尝试后,用户会“幸运”中奖,但领取奖金必须先支付运费,然后是保险费、税费等等。在某些情况下,受害者会被告知想要的商品缺货,并建议兑换成现金。然而拿到现金也必须支付一笔“手续费”。如果用户同意,还会被要求支付其他费用,例如保险费、账户激活费等等。
一个提供“赠品”的虚假购物网站示例
不建议网站和恶意网站的数据库还新增了一些诈骗分子出售虚假剧院门票的在线资源。这些网站提供热门剧目的门票,价格通常都很诱人。然而,付款后,受害者根本收不到想要的门票,实际上是把钱拱手打给了骗子。
一个出售根本不存在的电影票的诈骗网站。
此外,还发现了一些模仿私人影院网站并提供电影票的资源。受害者在这些网站购买电影票也不会拿到什么电影票。
虚假私人影院网站
我们的专家发现了一些网络钓鱼资源,其中包括虚假的直播网站。攻击者利用这些网站诱骗用户输入用户名和密码进行身份验证,试图借此获取用户帐户信息。
一个通过模仿直播网站诱骗潜在受害者登录账户的钓鱼网站
此外,诈骗分子再次引诱潜在受害者参与所谓的投资项目。其中一个网站建议美国的俄语用户将250美元投资给一个名为Federal Invest(“联邦投资”)的项目,并声称“三个月内最高可赚取9万美元”,还谎称该项目有唐纳德•特朗普等人参与创建。
一个声称有机会参与“高收益投资项目” 的诈骗网站
另一个网站则欺骗乌兹别克斯坦用户加入其宣传的所谓由一家大型控股公司参与的项目后,第一个月内即可获得高达 1500 万乌兹别克斯坦卢布的收益。
一个承诺乌兹别克斯坦居民参与“投资项目”即可获得巨额利润的诈骗网站。
移动设备恶意软件和不良软件
根据移动设备保护产品Dr.WebSecuritySpace的侦测统计,2025年第四季度侦测最多的是会不断显示广告的广告木马Android.MobiDash和Android.HiddenAds,紧随其后的是Android.Siggen家族木马。过去的三个月中银行木马的活动显著增加,其中增长最多的是Android.Banker家族木马。
不良程序中最常见的是经CloudInject云服务修改后的安卓应用程序(Dr.Web反病毒软件将其侦测为Program.CloudInject)。最常见的风险软件是Tool.NPMod,是使用NP Manager工具修改过的应用程序。广告应用中最多的仍是可嵌入到软件中Adware.Adpush。
10月份,我公司专家通报了危险的后门程序Android.Backdoor.Baohuo.1.origin,攻击者将其嵌入到TelegramX即时通讯软件的非官方修改版中。这个恶意软件会窃取Telegram帐户的登录名和密码以及其他敏感数据。此外,还让网络犯罪分子能够控制受害者的账户,并可直接控制即时通讯软件,更改其运行逻辑。
在过去一个季度中,我公司的反病毒实验室在Google Play目录中侦测到了新的恶意软件,包括为受害者注册付费服务的木马Android.Joker以及用于欺诈活动的各种伪造程序Android.FakeApp。
第四季度主要移动安全事件:
- 广告木马仍然是最常见的安卓威胁
- Android.Banker 银行木马攻击有所增加
- 嵌入在TelegramX的修改版中的危险后门程序Android.Backdoor.Baohuo.1.origin正在传播
- GooglePlay目录再次出现新威胁
2025年第四季度份移动威胁更多详情请参阅移动威胁综述.