-->
2015.02.02
Doctor Web公司技术人员收集到的数据显示,2015年一月不法分子组织了多起恶意程序群发,这些恶意软件用于在被感染计算机上安装其他危险应用程序。1月份许多OS Microsoft Windows用户受到了加密器的威胁。和以往一样,威胁 Google Android移动平台用户的木马等危险程序仍大量存在。
1月主要趋势
- 大量邮件群发,内含用于安装其他恶意应用程序的木马。
- 给Microsoft Windows用户造成严重威胁的木马加密器广泛传播。
- 出现多种针对Google Android移动平台的新恶意应用程序。
本月威胁
1月中旬不法分子进行了大量用于传播木马下载器Trojan.DownLoad3.35539的邮件群发。
- 以电子邮箱消息附带的ZIP压缩文件的形式进行传播;
- 该恶意程序主要功用是在被感染电脑下载并启动木马加密器Trojan.Encoder.686,也被称为CTBLocker。
Doctor Web技术人员记录到了使用不同语言(包括英语、德语,甚至格鲁吉亚语)写成的、带有这种危险附件的邮件群发。
目前仍无法为被此加密器加密的文件解密。
然而,Dr.Web 反病毒产品能成功侦测此恶意程序,因此,Dr.Web用户可免受其害。
关于此事件的更多详情参见Doctor Web公司已发表的信息。
木马加密器
技术支持部接收到的解密请求数量
| 2014.12 | 2015.1 | 增幅 |
|---|---|---|
| 1096 | 1305 | +16,1% |
1月份,Trojan.Encoder.686木马的受害者数量增多 : 病毒实验室中记录到51次此木马受害者的解密申请。此加密器使用TOR和OpenSSL密码库。在对用户文件加密的过程中大量使用CryptoAPI功能获取随机数据和椭圆曲线加密,。
病毒编写者仅给受害者96个小时用来支付解锁,并同时威胁如拒绝支付,则所有加密文件将永久丢失,而了解支付条件和支付金额的详细信息受害人需打开TOR匿名网络的网站。
遗憾的是,目前还无法对Trojan.Encoder.686加密的文件进行解密。然而,Dr.Web 反病毒产品能成功侦测此恶意程序,因此,Dr.Web用户可免受其害。
其他常见加密器:
- Encoder.556
- Encoder.858
- Encoder.567
- Encoder.398.
及时备份数据、合理分配操作系统用户权限以及必不可缺的现代反病毒保护系统可保护个人计算机用户免受木马加密器危害。Dr.Web Security Space 版本 10.0包含数据预防性保护的专门组件,用于抵御勒索木马,是抵御加密器的有效工具。
清除工具Dr.Web CureIt!统计数据结果
最常见的
恶意程序(根据清除工具Dr.Web CureIt!统计信息)
Trojan.MulDrop5.10078
在被感染计算机安装各种不良应用程序和广告应用程序。Trojan.BPlug
此插件用于常见浏览器,在用户浏览Web网页时显示烦人的广告。Trojan.Zadved
是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可偷换各种网站显示的广告消息。Trojan.LoadMoney
由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件。Trojan.Click
这一家族的恶意程序通过控制浏览器重新定向受害人访问特定网站的请求,虚报各种互联网资源的访问量。Trojan.Yontoo
针对常用浏览器的恶意插件家族,功用是在用户浏览Web网页时显示广告。
Doctor Web统计服务器收集的数据结果
最常见的
2015年1月的恶意程序(根据Dr.Web统计服务器数据)
Trojan.InstallCore.16
广告和可疑应用程序的木马安装器,也被命名为Trojan.Packed.24524。Trojan.DownLoad3.35539
木马下载器,主要通过电子邮件以包含.SCR文件的ZIP压缩文件形式传播。在试图打开文件时,木马会将RTF文档保存在被感染计算机的磁盘中,并在屏幕上显示。与此同时,该恶意程序会从不法分子的远程服务器下载并在个人计算机上启动其他恶意代码,其中包括木马加密器Trojan.Encoder.686(另一名称是CTB-Locker)。Trojan.LoadMoney.336
由LoadMoney联盟程序服务器生成的下载器家族的一个代表。此类应用程序在受害者计算机下载并安装各种不良软件。BackDoor.IRC.NgrBot.42
早已在转播木马,信息安全技术人员在2011年首次侦测。此家族的恶意程序能够在被感染计算机执行接收到的不法分子指令,网络犯罪分子利用文本消息更换协议IRC(Internet Relay Chat)对其进行控制。Trojan.OutBrowse.54
利用联盟程序传播并用来将文件流量货币化的广告木马家族的一个代表。
邮箱流量恶意程序统计
最常见的
恶意程序(2015年1月在邮箱流量侦测到的恶意程序)
BackDoor.Andromeda.404
木马下载器,用于从不法分子远程服务器下载并在被感染计算机上启动其他恶意程序。Trojan.DownLoad3.35539
主要通过电子邮件以包含.SCR文件的ZIP压缩文件形式传播的木马下载器。在试图打开文件时,木马会将RTF文档保存在受感染计算机的磁盘中,并在屏幕上显示。与此同时,该恶意程序会从不法分子的远程服务器下载并在个人计算机上启动其他恶意代码,其中包括木马加密器Trojan.Encoder.686(另一名称是CTB-Locker)。Trojan.Proxy.23968
此木马在被感染系统安装代理服务器,用于截获多个俄罗斯银行远程银行服务系统的机密信息。在受害者计算机启动后更改网络连接参数,在其中载入自动设置脚本链接。用户流量通过不法分子代理服务器重新定向,代理服务器能够更换“银行-客户”系统的Web网页。通过在系统中安装虚假的数字证书建立HTTPS连接,。Trojan.PWS.Stealer.13025
用于窃取被感染计算机机密信息(包括邮件程序、FTP客户端、浏览器、即时通讯的密码)的恶意程序家族的一个代表。W97M.DownLoader.185
主要通过电子邮箱在Microsoft Word文档中传播的恶意程序的家族代表。用于将其他恶意应用程序下载到被攻击的计算机。
僵尸网络
2015年1月Win32.Sector僵尸木马活动
恶意程序Win32.Sector自最早出现于2008年,是一个复杂的多态病毒,能够自主传播(无需用户参与)并感染文件对象。
其主要功能是:
- 从P2P网络下载并在被感染机器上运行不同的可执行文件;
- 嵌入到被感染计算机的启动进程;
- 能够阻止某些反病毒程序运行并阻止访问反病毒产品厂商的网站;
- 感染本地磁盘和可移动载体上的文件对象(在感染过程中创建自启动文件autorun.inf)以及保存在共享网络文件夹的文件。
2015年1月BackDoor.Flashback.39僵尸网络活动
BackDoor.Flashback.39
是2012年4月开始传播的Mac OS X木马程序。利用Java漏洞进行感染。木马功用是在被感染的机器下载并启动恶意代码,包括木马接收到的不法分子指令中指定的任何可执行文件。
针对Linux的威胁
2015年1月侦测到一些针对Linux家族操作系统的新恶意软件样本,其中最值得注意的是文件病毒Linux.EbolaChan。
- 新文件病毒Linux.EbolaChan的主要功用是按专门脚本日程启动,从不法分子网站下载并在被感染计算机中执行其他sh-脚本。
Linux木马Linux.BackDoor.Gates.5仍然活跃,继续针对各种互联网资源进行DDoS攻击。2015年1月Doctor Web技术人员记录了遭受攻击的5009个独有IP地址,像以往一样,这些地址大部分位于中国境内:
欺诈网站和不推荐网站
2015年1月Dr.Web不推荐网站的数据库中添加了10431个互联网地址。
| 2014.12 | 2015.1 | 增幅 |
|---|---|---|
| 10 462 | 10 431 | +0,3% |
Dr.Web Security Space 10.0中的父母控制组件保护用户免遭各种互联网诈骗。父母控制可以限制访问特定标题的互联网网站,过滤可疑内容以及使用不推荐链接的数据库,保护用户免受欺诈网站和风险网站的威胁,抵御传播恶意软件以及令人不快的网站内容和资源。
了解Dr.Web不推荐网站的更多详情
安卓恶意软件和不良软件
2015年1月出现了大量新恶意程序以及其他危险的安卓程序。其中最危险的是有:
- 在不法分子修改的安卓固件内部传播的木马
- 安卓银行木马
此类恶意应用程序在韩国再次活跃,不法分子大量群发包含安卓木马下载链接的SMS短信来进行传播。
共记录到40多次传播不同恶意程序此类垃圾短信群发。
商业间谍软件
1月份Doctor Web公司病毒库添加了大量用于在安卓移动设备中安装并监视用户的各种商业间谍应用程序。在Google Play目录出现的威胁
广告平台具有攻击性和风险,仍是针对移动设备严重威胁。此类系统中有一个嵌入到了Google Play目录中的多款免费软件。
有关针对Google Android移动平台的恶意程序更多详情,请参阅移动威胁综述。
和 Dr.Web 一起扩展知识
