Doctor Web:2016年1月病毒活动综述
2016.01.29
2016年1月令人印象深刻的安全事件是出现了大量新的Linux恶意程序,包括一个木马加密器新版本以及能够在被感染设备上截屏、记录键盘输入并执行不法分子发送指令的危险后门木马。此外,1月份还侦测到在一家知名厂商的智能手机固件中传播的安卓木马,月末Doctor Web公司分析人员在Google Play官方目录侦测到相当数量的恶意程序。
1月主要趋势
- 出现新的Linux恶意程序
- 出现新的Linux木马加密器
- 危险的安卓固件木马正在传播
本月威胁
1月末Doctor Web公司技术人员对一种多功能后门木马进行了研究,该木马能够感染Linux设备,由点滴木马和恶意代码两个组件组成:恶意代码会在被感染系统中执行基本间谍功能。点滴木马会在启动后在受攻击设备屏幕显示对话窗口:
该恶意程序在目标计算机上启动后,会从自身提取基本恶意组件——后门木马,并将其保存在硬盘中的一个文件夹中。这一模块能够执行40多个不同指令,包括保存用户的键盘输入(键盘记录),下载并启动各种应用程序,向不法分子传送指定文件目录的文件名称。同时,这一模块还能够向控制服务器上传所选择文件,创建、删除并重命名文件和文件夹,创建截屏(screenshot),执行bash指令等。该危险木马详情请参阅Doctor Web公司网站发布的新闻。
清除工具Dr.Web CureIt!统计数据结果
Trojan.DownLoad3.35967
一种从互联网下载并在受攻击计算机启动其他恶意程序的木马下载器家族代表。Trojan.Siggen6.33552
用于安装其他危险软件的恶意程序。Trojan.LoadMoney
由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件。Trojan.Crossrider1.50845
木马家族代表,用于显示各种可疑广告。
Doctor Web统计服务器收集的数据结果
Trojan.Zadved
是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息。Trojan.Siggen6.33552
用于安装其他危险软件的恶意程序。Trojan.LoadMoney
由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件。Trojan.DownLoad3.35967
一种从互联网下载并在受攻击计算机启动其他恶意程序的木马下载器家族代表。BackDoor.IRC.NgrBot.42
2011年被信息安全技术人员首次侦测的一种非常常见的木马。此家族的恶意程序能够在被感染计算机执行接收到的不法分子指令,网络犯罪分子利用文本消息更换协议IRC(Internet Relay Chat)对其进行控制。
邮箱流量恶意程序统计
Trojan.Encoder.567
一种加密受害者计算机文件并要求受害者支付解密的勒索木马家族代表。这一木马能够加密包括下列类型的重要文件:.jpg、.jpeg、.doc、.docx、.xls、xlsx、 .dbf、.1cd、.psd、.dwg、.xml、.zip、.rar、.db3、.pdf、.rtf、.7z、.kwm、.arj、.xlsm、.key、.cer、.accdb、.odt、.ppt、.mdb、.dt、.gsf、.ppsx、.pptx。Trojan.DownLoader
恶意程序家族,用于在受攻击计算机下载其他恶意应用程序。Trojan.PWS.Stealer
用于在被感染计算机窃取密码和其他机密信息的木马家族。Trojan.Encoder.3539
加密计算机中的文件并要求受害者支付解密的勒索木马家族代表。
僵尸网络
Doctor Web公司病毒分析人员继续监测不法分子使用文件型病毒Win32.Rmnet.12创建的僵尸网络的活动。
Rmnet — 不需用户参与即可进行传播的文件型病毒家族,能够将第三方内容嵌入到用户浏览的Web网站(理论上,网络犯罪分子能够利用这种方式获取受害者银行信息访问权限),窃取cookies文件和最流行的FTP客户端密码,并执行不法分子发出的各种指令。
由感染文件型病毒Win32.Sector的计算机组成的僵尸网络仍继续活动,此恶意程序具有以下功能:
- 从P2P网络下载并在被感染机器上运行不同的可执行文件;
- 嵌入到被感染计算机的启动进程;
- 能够阻止某些反病毒程序运行并阻止访问反病毒产品厂商的网站;
- 感染本地磁盘和可移动载体上的文件对象(在感染过程中创建自启动文件autorun.inf)以及保存在共享网络文件夹的文件。
该僵尸网络2016年1月日均活动见下图:
木马加密器
2016年01月最常见的加密器:
Dr.Web Security Space 11.0 for Windows
抵御木马加密器
大蜘蛛基础版Dr.Web Anti-virus for Windows授权不包含此功能。
| 防止数据丢失 | |
|---|---|
 |  |
Linux恶意程序
2016年1月可以称作是Linux恶意程序月,年初针对这一操作系统的木马数量创下了历史新高。元旦过后Doctor Web公司技术人员对一个Linux木马加密器新版本进行了研究,将其命名为Linux.Encoder.3。不法分子在这一恶意程序变种中修正了之前Linux加密器存在的错误和不足,尽管如此,由于Linux.Encoder.3的一系列构架特点,因此木马而受损的文件能够成功解密。
Linux.Encoder.3无需Linux超级用户权限即可运行,可使用Web服务器权限启动并加密网站主目录的所有文件。与之前版本木马加密器的不同之处在于,Linux.Encoder.3能够记住源文件创建日期和修改日期,并将其替换成加密前规定的文件修改值。病毒编写者还会修改加密算法:每个恶意程序样本都会使用独有密钥,该密钥在随机生成的数值和加密文件参数基础上创建而成。这一恶意程序详情请参阅Doctor Web公司网站发布的新闻。
随后,Doctor Web公司病毒分析人员很快又侦测到木马Linux.Ekoms.1,其概况已发布在相应的新闻中。该木马每30秒在被感染计算机截屏一次并以JPEG格式将其保存在临时文件夹。临时文件夹内容会根据定时器设定的时间间隔上传到控制服务器。此外,Linux.Ekoms.1还能够将被感染设备中的文件上传到不法分子服务器,从控制服务器下载其他文件,并将其保存在计算机磁盘中。
值得注意的是,Doctor Web公司技术人员在1月份侦测到Linux.Ekoms.1的Windows兼容版本,将其命名为Trojan.Ekoms.1。这一木马启动后会在文件夹%appdata%查找可执行文件,以防止系统二次感染,如果未能查找到此类文件,则会将自身副本以其中一个可执行文件命名,并保存到这一文件夹。 Trojan.Ekoms.1能够截屏,将用户键盘输入的信息保存在扩展名为.kkt的文件,将文件列表保存在记录扩展名为.ddt文件的文件夹中,并将这些文件传送到不法分子的服务器。值得注意的是,Linux.Ekoms.1 包含这些文件的提示,但Linux木马编辑器中没有负责处理这些提示的代码。Trojan.Ekoms.1同Linux木马结构一样,具有特有机制,能够记录声音并将获取的录音以WAV格式保存,但不能在此变种中使用。木马还具有公司"Issledovaniya i razrabotka"有效的数字签名,其根证书由Comodo公司颁发。
1月末在多个热门网站和博客中发表了关于名为TheMoon的新Linux蠕虫传播的信息。Dr.Web反病毒产品早在2015年12月14日就已侦测到这一危险的应用程序,将其命名为Linux.DownLoader.69。这一恶意程序的技术说明详情请参阅Doctor Web公司发布的介绍。
危险网站
2016年1月Dr.Web不推荐网站和恶意网站数据库新添625 588 个互联网地址。
| 2015.12 | 2016.01 | 增幅 |
|---|---|---|
| + 210 987 | + 625 588 | + 196% |
移动恶意软件和不良软件
1月份病毒事件表明不法分子对安卓移动平台的兴趣依旧高涨。月中Doctor Web公司病毒分析人员在Philips s307智能手机固件中侦测到危险木马Android.Cooee.1,其功用在于暗中下载并安装各种程序。1月末,Doctor Web公司技术人员在Google Play目录中侦测到60多个包含木马Android.Xiny.19.origin的游戏,这一恶意程序能够暗中启动从病毒编写者处获取的apk文件,下载并建议用户安装各种软件,还能够显示烦人的广告。
1月份最值得注意的移动安全事件有:
- 在Google Play目录出现大量含内置木马的游戏;
- 在Philips s307安卓智能手机固件中出现木马。
1月份移动病毒情况的更多详情请参阅移动威胁综述。