Doctor Web：2026年第一季度病毒活动综述

2026.04.01

Dr.Web产品侦测统计信息显示，2026年第一季度侦测到的威胁总数与去年第四季度相比下降6.77%。独特威胁的数量下降11.98%。最常见的恶意软件类型是不良广告软件、广告木马、恶意软件下载器以及后门程序。

电子邮件流量中最常侦测到的是恶意脚本、后门程序和各种木马程序。此外，漏洞利用程序和钓鱼文件也在通过电子邮件传播。

受到勒索软件感染的用户最常遭遇的加密器是 Trojan.Encoder.35534、Trojan.Encoder.29750 和 Trojan.Encoder.41868。

我公司互联网分析师在2026年第一季度发现了一些新的钓鱼网站，是假冒信贷机构和网店的网站及其他一些不良网站。

移动设备威胁方面主要动态是银行木马活动有所增加，同时我们的病毒分析师还注意到，一种通过在恶意软件中添加垃圾代码来逃避反病毒软件侦测的方法越来越常见。

1月份我公司通报了利用机器学习和视频流来仿真用户网站点击行为的 Android.Phantom 点击器木马。此外，在过去的三个月里，我们侦测到Google Play商店出现新的恶意软件，其中有的是为用户订阅付费服务的木马。

Doctor Web统计服务收集的数据

2026年第一季度最常见威胁：

Trojan.Siggen31.34463

用Go编程语言编写的木马程序，专门用于向目标系统植入各类挖矿工具和广告软件。为DLL文件形式，存储路径为 %appdata%\utorrent\lib.dll。木马利用torrent客户端uTorrent的DLL搜索顺序劫持漏洞来进行启动。

Adware.Downware.20655

Adware.Downware.20766

广告软件，是安装盗版程序过程中用到的中间环节程序。

Trojan.BPlug.4268

侦测浏览器插件WinSafe的恶意组件。该组件是一个JavaScript脚本，会在浏览器不断显示广告。

Adware.Siggen.33379

假冒的浏览器广告拦截器AdblockPlus，由其他恶意应用程序安装到系统，用于显示广告。

邮箱流量恶意程序统计数据

2026年第一季度邮箱流量中最常见的威胁：

JS.DownLoader.1225

启发式分析仪侦测到的ZIP压缩文件，其包含的JavaScript脚本名称可疑。

W97M.DownLoader.2938

利用MicrosoftOffice文档漏洞的木马下载器家族，功能是将其他恶意软件下载到受攻击的计算机。

Exploit.CVE-2017-11882.123

Exploit.CVE-2018-0798.4

MicrosoftOffice漏洞利用程序，可执行任意代码。

JS.Redirector.514

一种恶意脚本，功能是将用户重定向到攻击者所控制的网页。

加密器

2026年第一季度勒索木马受害者的文件解密申请量较去年第四季度减少31.51%。网络攻击事件减少主要是在新年假期，可能是一些网络犯罪分子暂停了活动，而且，假期也可能让用户未能马上发现已遭受勒索软件攻击。

Doctor Web公司技术支持部门接收到的解密申请量动态：

2026年第一季度最常见的加密器：

• Trojan.Encoder.35534—占用户申请的15.59%
• Trojan.Encoder.29750—占用户申请的3.23%
• Trojan.Encoder.41868—占用户申请的3.23%
• Trojan.Encoder.26996—占用户申请的1.62%
• Trojan.Encoder.44383—占用户申请的1.61%

网络诈骗

我公司网络分析团队在过去的三个月发现新的虚假网购平台网站。诈骗分子在这些网站“出售”所谓未付款订单。诈骗手法如下：将所谓订单“未收货”商品按类别（电子产品、服装、鞋子、化妆品等）分类，装入相应的盲盒，声称盲盒中可能是很贵重的物品。这些盒子以相对较低的价格出售，这正是其主要诈骗手段所在。

一个声称“订单”无人认领商品清仓处理的假冒购物平台

用户选中其中一个盲盒后，系统会提示他们下单并提供个人信息，包括姓名、手机号码和电子邮件地址。之后，用户会被重定向到快速支付系统(FPS)的支付页面。最终，受害者不仅损失了金钱，还将个人信息泄露给了骗子。

受害者下单会被要求通过快速支付系统付款

我们的专家还发现许多提供各种金融服务的网站，例如快速获得小额贷款、普通贷款或协助办理破产流程。这些网站并非如用户预期的那样直接提供服务，而是充当客户和金融机构之间的中介，并会收取一定的费用，让用户能浏览到一系列可能合适的选项，而实际上类似的金融产品信息汇总完全可以通过免费的渠道获取。此外，这些网站并不保证用户能申请成功，用户支付的费用并非一次性支付，而是付费订阅，会定期从用户账号扣费。

让用户通过付费订阅来选择自己感兴趣的金融产品的网站示例

某些情况下，这类网站还可能会误导用户，表面上是提供就业服务，而实际上提供的是让用户可访问贷款、小额贷款等金融产品的收费订阅。

网站表面是提供求职帮助，但用户付费后看到的并非招聘信息，而是来自网站合作伙伴的金融产品，如贷款、小额贷款和其他类似服务。

在第一季度发现的钓鱼网站中有一些是冒充“绿色马拉松”慈善赛的虚假网站。这些网站诱导用户注册参加马拉松，但实际上与赛事无关，目的是窃取用户的隐私信息。

“绿色马拉松”虚假网站示例

我公司网络分析师再次发现虚假的投资服务网站，这些网站声称与多家信贷机构有关联。其中一些虚假网站分别针对的是俄罗斯、哈萨克斯坦和其他国家的用户。诈骗分子承诺会获得高额回报，但“访问”这些虚假的投资平台需要先填写一份简短的调查问卷并注册包含个人信息的账户。

攻击者冒充俄罗斯某银行投资服务官方资源的钓鱼网站示例

攻击者冒充哈萨克斯坦某信贷机构投资服务官方资源的钓鱼网站示例

移动设备恶意软件和不良软件

根据Dr.Web Security Space移动设备保护产品的侦测统计数据，去年第四季度观察到的 Android.Banker 银行木马活动增加的趋势在2026年第一季度得以延续，其中最常见的是 Android.Banker.Mamont 子家族成员。与此同时，Android.MobiDash 和 Android.HiddenAds 广告木马的侦测数量再次下降

风险程序中最多是是是使用修改工具注入垃圾代码的程序（侦测为 Tool.Obfuscator.TrashCode）。这种技术目前被广泛用于银行木马，目的是逃避反病毒软件的侦测。此外，使用NPManager工具修改的应用程序（侦测为 Tool.NPMod）也仍常见。

最常见的不良软件是伪装成杀毒软件的 Program.FakeAntiVirus，要求用户购买完整版才能“处理”其侦测到的所谓威胁。第一季度最活跃的广告软件是 Adware.Bastion.1.origin 和 Adware.Opensite.15。前者是所谓的优化应用，会生成内存不足和系统出现错误的通知，目的是在所谓的“优化”过程中展示广告。后者伪装成游戏作弊程序，声称可以获取各种游戏资源，但实际上只会加载广告网站。

2026年1月我们的反病毒实验室曾通报 Android.Phantom 点击器木马程序所存在风险。这类恶意应用利用机器学习和视频流技术来仿真用户的网站点击。网络犯罪分子通过多种渠道来传播这些程序，包括小米设备的Get Apps应用商店、Telegram频道、Discord服务器、第三方软件分发渠道以及恶意网站。

过去三个月，我公司病毒分析师在Google Play应用商店发现新威胁，包括木马程序 Android.Joker 和 Android.Subscription，功能是为用户订阅付费服务。

第一季度主要移动安全事件：

• 银行木马 Android.Banker 成为安卓设备最常见的威胁
• 网络犯罪分子越来越频繁使用安卓应用修改工具来增强银行木马逃避杀毒软件侦测的能力
• 广告木马 Android.MobiDash 和 Android.HiddenAds 的活动持续下降
• 用户受到木马 Android.Phantom 的威胁，这类木马利用机器学习和视频流来操纵网站点击量
• 恶意应用仍在通过Google Play传播

2026年第一季度份移动威胁更多详情请参阅移动威胁综述。