Doctor Web:2016年2月病毒活动综述

病毒报告 | Doctor Web公司新闻

2016.02.29

2016年2月出现了一系列直接关系信息安全的事件。月初Doctor Web公司技术人员侦测到一种能够嵌入系统进程的危险安卓木马,2月下旬同时出现了多个危险的Windows恶意程序。

2月主要趋势

  • 出现能够嵌入系统进程的安卓木马
  • 欺骗俄罗斯银行客户的木马正在传播
  • 出一种不在独联体国家运行的Windows恶意程序

本月威胁

从技术角度来看,2月份侦测到的新恶意程序中最值得注意的是三个协作运行的安卓木马,被分别命名为Android.Loki.1.originAndroid.Loki.2.originAndroid.Loki.3。这些程序的运行使用数据库liblokih.so(Dr.Web反病毒产品侦测此数据库并命名为Android.Loki.6),Android.Loki.3组件将其嵌入到系统进程后,主要模块Android.Loki.1.origin便能够在被感染设备使用system用户权限运行。

值得注意的是,之前发现的安卓木马并不具备将自身嵌入系统应用进程的能力,因此Doctor Web公司病毒分析人员新侦测到的这一木马确实值得注意。Android.Loki.1.origin具备以下多种功能:

  • 安装或卸载应用程序;
  • 启用或停用应用程序及其组件;
  • 中止进程;
  • 显示通知;
  • 将应用程序注册成Accessibility Service(跟踪设备屏幕点击);
  • 根据控制服务器的指令更新自身组件并加载插件;

其中,木马 Android.Loki.2.origin的功能是按照控制服务器指令在被感染设备安装各种应用并显示广告。同时这一木马还具有许多间谍功能,不法分子能够到收集大量被感染设备的信息。此类安卓木马的更多详情请参阅相关综述

清除工具Dr.Web CureIt!统计数据结果

清除工具Dr.Web CureIt!统计数据结果 #drweb

  • Trojan.DownLoad3.35967

    一种从互联网下载并在受攻击计算机启动其他恶意程序的木马下载器家族代表。

  • Trojan.Zadved

    是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息。

  • Trojan.DownLoader

    恶意程序家族,用于在受攻击计算机下载其他恶意应用程序。

  • Trojan.Installmonster

    使用联盟程序Installmonster创建的恶意程序家族。此类应用程序在受害者计算机安装各种不良软件。

  • Trojan.Crossrider1.50845

    使用联盟程序Installmonster创建的恶意程序家族。此类应用程序在受害者计算机安装各种不良软件。

Doctor Web统计服务器收集的数据结果

Doctor Web统计服务器收集的数据结果 #drweb

  • Trojan.Zadved

    是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息。

  • Trojan.KillProc.35262

    能够中止其他应用已启动进程的恶意程序家族代表,还能够在被感染计算机执行不法分子指定的其他任务。

  • Trojan.LoadMoney

    由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件。

  • Trojan.DownLoad3.35967

    一种从互联网下载并在受攻击计算机启动其他恶意程序的木马下载器家族代表。

  • Trojan.BPlug

    此插件用于常见浏览器,在用户浏览Web网页时显示烦人的广告。

邮箱流量恶意程序统计

邮箱流量恶意程序统计 #drweb

  • Trojan.PWS.Stealer

    用于在被感染计算机窃取密码和其他机密信息的木马家族。

  • Trojan.Encoder.567

    一种加密受害者计算机磁盘中的文件并要求支付解密的勒索木马家族代表。这一木马能够加密包括下列类型的重要用户文件:.jpg、.jpeg、.doc、.docx、.xls、xlsx、.dbf、.1cd、.psd、.dwg、.xml、.zip、.rar、.db3、.pdf、.rtf、.7z、.kwm、.arj、.xlsm、.key、.cer、.accdb、.odt、.ppt、.mdb、.dt、.gsf、.ppsx、.pptx。

  • Trojan.Encoder.3714

    一种加密受害者计算机磁盘中的文件并要求支付解密的勒索木马家族代表。

木马加密器

木马加密器 #drweb

2016年02月最常见的加密器:

从统计数据可以看出,2月份由于文件被木马加密器加密而向Doctor Web公司技术支持部门求助的用户大约有一半都来自国外。

Dr.Web Security Space 11.0 for Windows
抵御木马加密器

大蜘蛛基础版Dr.Web Anti-virus for Windows授权不包含此功能。

Data Loss Prevention
Превентивная защитаЗащита данных от потери

详情

其他恶意程序

许多大众传媒不断发布关于Trojan.Dyre家族银行木马的信息:该家族恶意程序从2014年中旬就开始威胁用户。不法分子按照CaaS模式(crime-as-a-service犯罪运营模式)利用联盟程序传播不同的Trojan.Dyre变种,为黑市“客户”提供用来生成新木马样本的专用生成器。不法分子还会向合作伙伴提供可管理僵尸网络的专用控制面板。Doctor Web公司技术人员抵御Trojan.Dyre创建者和传播者的方式请参阅公司网站发布的介绍

2月中旬技术人员侦测到木马Trojan.Proxy2.102,该木马给多个大型俄罗斯银行的客户造成威胁,不法分子利用这种木马从银行账户窃取钱财。木马启动后,会在系统中安装数字根证书并修改互联网连接设置,定向到不法分子代理服务器的地址。

screen Trojan.Proxy2.102 #drweb

用户一打开被感染计算机,代理服务器就会在“银行-客户”系统网页嵌入能够使不法分子从受害者银行账户窃取钱财的第三方内容。木马Trojan.Proxy2.102更多详情请参阅相关介绍

在月末Doctor Web公司公布侦测到木马下载器BackDoor.Andromeda.1407,其主要特点在于该木马不在安装有俄语、乌克兰语、白俄罗斯语或哈萨克语键盘输入法的计算机运行。目前已发现这一后门木马正在传播多个危险恶意程序。

危险网站

2016年2月Dr.Web不推荐网站和恶意网站数据库新添453 623个互联网地址。

2016.012016.02增幅
+625,588+453,623-27.5%
Dr.Web不推荐网站

移动恶意软件和不良软件

2月份同时侦测到多起安卓木马事件。月初,Doctor Web公司病毒分析人员对一批Android.Loki家族多功能恶意程序进行了研究,此类恶意程序功用在于下载及安装各种软件、显示广告并收集机密信息。此外,2月份不法分子再度传播安卓银行木马。

2月份最值得注意的移动安全事件有:

  • 出现能够嵌入系统进程并具有多种功能的木马;
  • 新银行木马正在传播。

2月份移动病毒情况的更多详情请参阅移动威胁综述

和 Dr.Web 一起扩展知识

病毒统计信息 病毒介绍信息库 所有病毒综述 live实验室

最新新闻 全部新闻