Doctor Web:2026年第二季度病毒活动综述
电子邮件流量中最常侦测到的是恶意脚本和各种木马应用程序,其中包括下载器、释放器、密码窃取程序和挖矿程序。此外,后门程序、钓鱼文档和各种漏洞利用工具也较为常见。
受到勒索软件感染的用户最常遭遇的加密器是 Trojan.Encoder.35534、Trojan.Encoder.41868 和 Trojan.Encoder.37400。同时,与上一季度相比,提交给Dr.Web技术服务支持部门的解密求助请求数量有所减少。
2026年第二季度,我公司互联网安全分析专家观察到针对 MAX 即时通讯工具用户的网络钓鱼攻击数量有所增长。攻击者还利用当下的时事新闻热点,对流行的诈骗手段进行了相应的伪装和调整。
今年4月 Microsoft Visual Studio Code 的一个更新中出现恶意代码,是一个木马脚本,存在于一个名为 es5-ext 的公共JavaScript库中,而软件的更新包含此库。此脚本发现系统时区符合部分俄罗斯城市时区时便会触发,并在开发者控制台显示反俄煽动言论。
5月,我公司提醒 用户一种名为 JobStealer 的恶意程序正在传播,其主要目标是Mac和Windows用户。网络犯罪分子将其伪装成用于在线面试的软件。JobStealer木马能够窃取多种机密信息,包括约300个浏览器加密货币钱包插件的数据、Telegram即时通讯软件的文件、浏览器中保存的密码、银行卡数据以及Cookie文件。
6月,Dr.Web公司反病毒实验室的专家报告出现一种新的安卓广告木马 Android.MagicAd.1。该木马能够绕过安卓操作系统限制后台显示广告。木马会利用第三方应用程序,并根据目标设备的生产厂商选择具体的攻击手法。
在针对安卓设备的恶意程序中,Android.Banker 银行木马家族仍是在受保护设备侦测数量方最多的威胁。与此同时,病毒编写者在大量使用各种安卓程序篡改工具,目的是让恶意软件能够逃避反病毒软件的侦测。此外,第二季度我们的病毒分析师还在Google Play官方商店中发现了一系列新的木马程序,功能是诱骗用户订阅付费移动服务。
第二季度主要趋势
- 在受保护设备侦测到的威胁数量增加。
- 侦测到的独特威胁数量大幅增加。
- 与上一季度相比,文件被勒索软件加密的用户的解密申请数量减少。
- 诈骗者开始频繁攻击俄罗斯即时通讯软件 MAX 的用户。
- Android.Banker 银行木马仍是安卓设备上最常见的恶意程序。
- 我公司专家发现新的广告木马,命名为 Android.MagicAd.1,该木马能够绕过安卓操作系统的限制以后台模式显示广告。
- 病毒编写者正在传播恶意程序 JobStealer,目的是窃取运行 Mac 和 Windows 系统的计算机用户的机密数据。
- 在 Microsoft Visual Studio Code 的一个更新中侦测到恶意代码。
Doctor Web统计服务收集的数据
2026年第二季度最常见威胁:
- Adware.Downware.20091
- Adware.Downware.20766
- 广告软件,是安装盗版程序过程中用到的中间环节程序。
- Trojan.Siggen31.34463
- 用Go编程语言编写的木马程序,专门用于向目标系统植入各类挖矿工具和广告软件。为DLL文件形式,存储路径为 %appdata%\utorrent\lib.dll。木马利用torrent客户端uTorrent的DLL搜索顺序劫持漏洞来进行启动。.
- Trojan.BPlug.4268
- 侦测浏览器插件WinSafe的恶意组件。该组件是一个JavaScript脚本,会在浏览器不断显示广告。
- Trojan.Starter.8319
- 恶意XML脚本,能够启动木马 Trojan.AutoIt.289 及其组件。
邮箱流量恶意程序统计数据
2026年第二季度邮箱流量中最常见的威胁:
- X97M.DownLoader.2343
- 一个包含 OLE 对象的 XLSX 文件(Microsoft Excel 电子表格格式),该 OLE 对象会讲恶意文件下载到受攻击的计算机。
- W97M.DownLoader.2938
- 利用MicrosoftOffice文档漏洞的木马下载器家族,功能是将其他恶意软件下载到受攻击的计算机。
- Exploit.CVE-2017-11882.123
- Exploit.CVE-2018-0798.4
- MicrosoftOffice漏洞利用程序,可执行任意代码。
- JS.Muldrop.1171
- 一种JavaScript 格式的恶意脚本,用于在目标系统中启动其内部隐藏的恶意软件(ВПО)。
加密器
2026年第二季度勒索木马受害者的文件解密申请量较第一季度略有减少,减幅为2.67%。
Doctor Web公司技术支持部门接收到的解密申请量动态:
2026年第二季度最常见的加密器:
- Trojan.Encoder.35534 — 占用户申请的 14.47%
- Trojan.Encoder.41868 — 占用户申请的 5.26%
- Trojan.Encoder.37400 — 占用户申请的 3.95%
- Trojan.Encoder.35209 — 占用户申请的 3.29%
- Trojan.Encoder.44197 — 占用户申请的 2.63%
网络诈骗
Dr.Web互联网分析专家在2026年第二季度观察到的一个趋势是,随着俄罗斯即时通讯软件MAX用户群体的增长,网络犯罪分子也更多针对其用户展开攻击,使用的是一些此前针对Telegram和WhatsApp等其他即时通讯工具用户的已知诈骗手段。例如,我们的专家发现了大量以各种投票为幌子的诈骗网站,目的是窃取MAX账户。潜在受害者会被邀请参与某项比赛的投票,但首先需要登录账户,输入手机号码以及收到验证码。一旦用户输入所有数据,攻击者就获得了访问用户账户的权限。
一个钓鱼网站示例,诈骗者利用这种方式获取对受害者MAX即时通讯账户的访问权限
Dr.Web互联网分析专家在第二季度注意到再次出现了一批与投资相关的诈骗网站,而且网络犯罪分子也紧跟当前趋势,继续大肆利用人工智能做噱头。例如,他们在一些互联网资源向潜在受害者提议加入一个新的投资项目,声称该项目与俄罗斯大型信贷机构有关。诈骗者承诺提供基于ChatGPT的专门聊天机器人访问权限,可帮助投资。网站访问者在成为"项目"参与者之前需要进行注册并提供个人信息。
诈骗网站邀请用户注册一个据称与某俄罗斯银行有关的投资项目,并获得基于ChatGPT的专门金融聊天机器人访问权限
同时,诈骗者不仅利用俄罗斯银行的名义,还利用外国信贷机构的名义来吸引俄语用户。例如,一些伪投资服务网站被网络犯罪分子包装成与韩国银行有关。
一个诈骗网站,向俄语用户提议参与某韩国银行的投资项目,承诺收益2,000,000韩元起
第二季度,试图窃取各种服务账户数据的诈骗活动依然活跃。例如,在众多钓鱼网站中,出现了假冒运输公司的网站,针对某俄罗斯快递服务的客户。潜在受害者被要求通过绑定账户的手机号码登录,或通过俄罗斯公共服务门户网站授权。值得注意的是,即使通过第一种方式"登录"账户后,该网站仍会以门户网站授权为幌子,显示第二个钓鱼登录页面。
利用这个诈骗网站,诈骗者能够同时窃取多个账户的数据,包括快递公司网站的个人账户和公共服务门户网站的账户
我们的专家还发现了针对多国信贷机构的新钓鱼网站。例如,诈骗者向某美国银行的储户提议登录其账户,查看是否为"忠实客户"提供了更高的利率:
在另一个案例中,一个钓鱼网站模仿的是厄瓜多尔某银行的外观,要求用户输入其网上银行的用户名和密码:
另一起钓鱼诈骗针对的是英国用户。网络犯罪分子创建假冒的政府服务网站,要求用户缴纳违章停车罚款。
潜在受害者被要求提供详细的个人信息用于所谓身份验证,之后会被重定向到"罚款"支付页面。
另一种常见的诈骗手段仍是向民众承诺各种无偿补助金。然而,网络犯罪分子会根据时事不断调整内容。例如,在庆祝俄罗斯日前夕,出现了假冒俄罗斯信贷机构的网站,承诺节日补贴。其中一个网站谎称用户完成调查问卷后可获得5,000至300,000卢布不等的金额:
在该诈骗手法的另一个变种是承诺用户在完成问卷后可获得5,000卢布的"资助":
而在一系列关于俄罗斯某些地区燃料短缺的投机性传闻背景下,一些诈骗网站承诺提供油票,可免费领取20至100升的汽油:
这些网站的访问者在回答了几个简单问题后,被要求进行"身份验证",也就是提供姓名、手机号码以及银行卡号。随后,诈骗者便可能利用这些信息来盗取受害者的钱财。
在第二季度侦测到的不良网站中,还出现了假冒国际足联(FIFA)官方门户的网站,欺骗用户在这些网站上可从官方渠道购买2026年世界杯足球赛门票、官方纪念品品以及各种高级服务。与真实网站一样,这些假冒网站的访问者被要求登录FIFA ID账户,但假冒的登录页面会接受输入的任何数据。
假冒的FIFA ID账户登录页面
当足球爱好者选择了他们感兴趣的商品后,就会被要求下单并付款。同时,在付款过程中,用户会进入某服务的网站,而该网站已被列入Dr.Web反病毒软件不推荐的互联网资源数据库。
假冒的国际足联网站,谎称可购买官方授权的产品和服务
我们的专家还记录到一系列垃圾邮件活动,目的是传播定向到俄罗斯电商假冒平台的链接,诈骗者在此类网站上邀请潜在受害者参与所谓"周年庆抽奖活动",承诺有机会获得高达1,000,000卢布的现金奖励,以及电脑和移动设备:
参与"活动"的用户需要点击此类网站上的相应按钮,随后网站会模拟抽奖过程。在经过几次尝试后,潜在受害者会被告知赢得了数份礼物,并可自行选择:一是在电商平台自提点领取实物奖品,二是将奖品折现并转账至银行账户:
当选择在自提点领取奖品时,网站会显示所需商品已库存告罄,但用户仍然可以将其兑换成现金。随后,页面会模拟与客服人员的聊天,以"确认"兑换奖品的意向。而此时潜在受害者就需要提供银行卡号:
在输入卡号后,网站会要求支付手续费,用于"正式办理中奖手续":
实际上,诈骗受害者什么奖品也得不到。他们不仅向诈骗者透露了自己的银行卡信息,还白白搭进了自己的钱。
移动设备恶意软件和不良软件
根据Dr.Web Security Space移动设备保护产品的侦测统计数据,2026年第二季度,用户遭遇 Android.Banker 银行木马的频率有所下降,但这些木马应用仍然是侦测数量最多的恶意软件。同时,Android.HiddenAds 和 Android.MobiDash 广告木马的活跃度再次出现下降。
第二季度侦测最频繁的风险程序是经NP Manager修改工具处理过的 Tool.Obfuscator.TrashCode 和 Tool.NPMod 应用。病毒编写者使用这个工具来帮助恶意软件逃避反病毒软件的侦测。最常见的不良程序是假冒的反病毒软件 Program.FakeAntiVirus,会要求用户购买完整版,谎称能"清除"其找到的威胁。
最活跃的广告软件模块是 Adware.AdPush,会显示误导性通知并收集敏感数据。所谓安卓操作系统运行的优化应用 Adware.Bastion.1.origin 再次开始传播,会推送内存不足或系统出错的通知,以便在所谓的"优化"过程中展示广告。广告程序 Adware.Opensite.15 也保持较高的活跃度,网络犯罪分子将其伪装成作弊程序,声称可让用户获取各种游戏的道具资源。实际上这些程序只会加载带有广告的网站。
6月,Dr.Web公司专家提醒注意被命名为 Android.MagicAd.1 的木马,该木马能够绕过安卓操作系统限制,以后台模式展示广告。Android.MagicAd.1 能够通过利用第三方应用程序,还会根据目标设备制造商选择的不同技术手段来绕过限制。
第二季度我们的病毒分析师在Google Play目录中再次发现了多个来自 Android.Joker 和 Android.Subscription 家族的木马程序,功能是诱骗用户订阅付费服务。这些应用的总下载量不少于260万次。
第二季度主要移动安全事件:
- Android.Banker 银行木马在受Dr.Web保护的设备的侦测数量仍为最多
- 网络犯罪分子更加频繁使用安卓应用修改工具来增强银行木马逃避反病毒软件侦测的能力
- 广告木马 Android.MobiDash 和 Android.HiddenAds 的活动再度下降
- Dr.Web病毒分析师发现 Android.MagicAd.1 木马,该木马利用第三方程序绕过Android系统限制,在后台展示广告
- Google Play目录出现新的木马应用,诱骗用户订阅付费服务
2026年第二季度份移动威胁更多详情请参阅移动威胁综述。