Doctor Web:2015年6月病毒活动综述
2015.06.30
2015年6月同时发生了多起信息安全事件。Doctor Web公司技术人员发现不法分子入侵了一系列Web网页,包括全俄社会舆论研究中心的门户网站。此外,上个月针对OS Windows、Mac OS X和Android的新恶意程序也广为传播。
6月主要趋势
- 不法分子频繁入侵各种Web网页
- Mac OS X平台的不良程序安装器在互联网的传播更为广泛。
- 出现新的安卓恶意程序和Windows恶意程序。
本月威胁
2015年6月初Doctor Web公司病毒分析人员侦测到一种新木马程序,命名为Trojan.Proxy.27552,其功用是大量群发垃圾邮件,该木马值得注意的地方是在开始运行时编写者嵌入其中的错误就可能对操作系统进行“猛攻”,引起蓝屏死机(BSOD)。Trojan.Proxy.27552的另一个显著特点是能够将控制服务器地址列表保存在Windows系统注册表中。
Trojan.Proxy.27552主要功能:协同垃圾邮件远程服务器群发垃圾邮件。值得注意的是,垃圾邮件中的链接主要是已入侵网页的链接。该恶意程序更多详情请参阅Doctor web公司网页发布的新闻。
清除工具Dr.Web CureIt!统计数据
Trojan.DownLoad3.35967
一种从互联网下载并在受攻击计算机启动其他恶意程序的木马下载器家族代表。
Trojan.Yontoo
针对常用浏览器的恶意插件家族,功用是在用户浏览Web网页时显示广告。
Trojan.Click
这一家族的恶意程序通过控制浏览器行为,重新定向受害者访问特定网站的请求,虚报各种互联网资源的访问量。
Trojan.LoadMoney
由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件。
Trojan.Siggen6.33552
用于安装其他危险软件的恶意程序。
Doctor Web统计服务器收集的数据结果
Trojan.DownLoader13.34458
一种从互联网下载并在受攻击计算机启动其他恶意程序的木马下载器家族代表。
Trojan.Siggen6.33552
用于安装其他危险软件的恶意程序。
Trojan.InstallCube
在用户计算机安装各种不需要的应用程序和不良应用程序的下载器程序家族。
Trojan.Installmonster
使用联盟程序Installmonster创建的恶意程序家族。此类应用程序在受害者计算机安装各种不良软件。
邮箱流量恶意程序统计
Trojan.Oficla
主要通过电子邮箱传播的木马家族。在感染计算机时,该木马家族会隐藏自身恶意活动。接下来Trojan.Oficla会将计算机接入到僵尸网络,使不法分子能够向其中下载其他恶意软件。系统感染后,不法分子能够控制受害者的计算机,能够在计算机中下载、安装并使用任意恶意软件。
Trojan.DownLoader13.34458
一种从互联网下载并在受攻击计算机启动其他恶意程序的木马下载器家族代表。
Worm.Siggen.12176
主要以电子邮箱消息形式传播的蠕虫恶意程序。
W97M.DownLoader.423
主要通过电子邮箱Microsoft Word文档传播的恶意程序家族代表,功用在于将其他恶意应用程序下载到受攻击计算机。
Trojan.Upatre
用于在被感染计算机下载并暗中安装其他恶意应用程序的木马下载器家族。
僵尸网络
Doctor Web公司病毒分析人员继续监测威胁用户的僵尸网络的活动。技术人员监测的Win32.Rmnet.12的两个子网的日均活动情况见下图:
Rmnet — 不需用户参与即可进行传播的文件型病毒家族,能够将第三方内容嵌入到用户浏览的Web网站(理论上,网络犯罪分子能够利用这种方式获取受害者银行信息访问权限),窃取cookies文件和最流行的FTP客户端密码,并执行不法分子发出的各种指令。
同以往一样,由感染文件型病毒Win32.Sector的计算机组成的僵尸网络在继续发挥作用。此恶意程序具有以下功能:
- 从P2P网络下载并在被感染机器上运行不同的可执行文件;
- 嵌入到被感染计算机的启动进程;
- 能够阻止某些反病毒程序运行并阻止访问反病毒产品厂商的网站;
- 感染本地磁盘和可移动载体上的文件对象(在感染过程中创建自启动文件autorun.inf)以及保存在共享网络文件夹的文件。
与2015年5月份相比,不法分子使用木马Linux.BackDoor.Gates.5对各种Web网页进行的攻击数量剧减。6月份,遭受攻击的独有IP地址数量有1284个,降低了76.6%。不法分子攻击的目标也发生改变:目前加拿大成为受攻击互联网资源数量最多的国家,中国和美国分别位居第二和第三:
木马加密器
Doctor Web公司技术支持部门接收到的解密申请数量:
| 2015.05 | 2015.06 | 增幅 |
|---|---|---|
| 1200 | 1417 | + 18% |
2015年6月最常见的加密器:
- Trojan.Encoder.858
- Trojan.Encoder.567
- BAT.Encoder
Dr.Web Security Space 10.0 for Windows
抵御木马加密器
大蜘蛛基础版Dr.Web Anti-virus for Windows授权不包含此功能。
| 预防性保护 | 防止数据丢失 |
|---|---|
 |  |
针对Mac OS X的威胁
不良程序安装器和广告木马已成为威胁Mac OS X操作系统用户的主要恶意程序。其数量与日俱增,其中一个程序在6月末添加到Dr.Web病毒库,被命名为Adware.Mac.MacInst.1。
安装器Adware.Mac.MacInst.1启动后会在计算机屏幕弹出对话窗口,首先显示的是用户需要下载的文件的相关信息。
点击“下一步”按钮之后,安装器会显示可以在安装所需程序的同时安装一些补充组件的信息。
这些所谓的补充组件就包括Dr.Web反病毒产品能够侦测的一种被命名为Trojan.VIndinstaller.3的程序。该程序在计算机中安装Safari、Firefox和Chrome浏览器恶意插件,如Trojan.Crossrider家族木马。更多详情参阅我公司网站的病毒综述。
危险网站
6月份被添加到Dr.Web病毒库的危险不良互联网资源中包括被网络犯罪分子入侵的全俄社会舆论研究中心官网的一系列网页链接。全俄社会舆论研究中心俄文版(wciom.ru)和英文版(wciom.com)的官方网站都遭到解密。不法分子在被解密的服务器创建了一个特别区域,其中的Web网页标题是搜索引擎统计信息显示的热门标题。这些网页都包含Dr.Web反病毒软件将其命名为Trojan.DownLoader家族的木马文件的下载链接。不法分子利用该下载器在受害者电脑上安装用于获取各种加密电子货币的挖矿程序以及其他不良软件。根据网络犯罪分子收集的统计数据,已有数万名用户成为潜在受害者。
全俄社会舆论研究中心网站被入侵的详情请参阅Doctor Web公司公布的相关介绍。
2015年6月Dr.Web不推荐网站和恶意网站数据库新添978982个互联网地址。
| 2015.05 | 2015.06 | 增幅 |
|---|---|---|
| + 221 346 | + 978 982 | + 342.28 % |
安卓恶意软件和不良软件
6月份,Doctor Web公司技术人员侦测到大量不同的安卓恶意程序和不良程序,并记录到不法分子对安卓智能手机和平板电脑用户组织的新攻击。上个月最值得注意的与安卓恶意应用程序相关的病毒事件有:
- 不法分子使用各种银行木马窃取安卓用户钱财;
- 出现新的安卓勒索木马;
- 病毒编写者使用木马下载器传播安卓恶意程序;
- 短信木马增多。
6月份移动病毒情况的更多详情请参阅移动威胁综述。