Doctor Web:2016年10月病毒活动综述
2016.10.27
10月份,Doctor Web公司病毒分析人员对首个用Go语言编写的木马加密器进行了研究,并研发出了解密受损文件的方法。10月下旬还侦测到一种能够在被感染设备执行不法分子指令的Linux后门木马。移动设备用户仍是网络犯罪分子的攻击目标:10月份安卓恶意程序持续传播。
10月主要趋势
- 出现了首个用Go语言编写的木马加密器
- 新的Linux木马正在传播
- 安卓恶意程序正在传播
本月威胁
木马加密器被看做是一种最为危险的恶意程序,每个月都会出现新版本的木马加密器,但不久前Doctor Web公司病毒分析人员才侦测到首个采用Go语言编写的木马加密器,命名为Trojan.Encoder.6491,已添加到病毒库。
木马利用AES算法将保存在磁盘中的140种文件加密,使用Base64方法加密原文件名,然后为被加密文件添加上.enc扩展名。如,名为Test_file.avi的文件会被更名为VGVzdF9maWxlLmF2aQ==.enc。随后,木马加密器会使用浏览器打开文件Instructions.html,要求支付Bitcoin加密电子货币进行解密:
Trojan.Encoder.6491 会定时检查指定受害者打款的Bitcoin钱包,如果受害者支付金额,木马会自动解密文件。Doctor Web公司技术人员已研究出了专门的技术,能够将被这一木马加密的文件解密,更多详情请参阅Doctor Web公司发布的 新闻
清除工具Dr.Web CureIt!统计数据结果
- Trojan.Zadved
是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息。 - Trojan.BtcMine.793
意在非法利用被感染计算机的计算资源以获取(开采)各种加密电子货币,例如比特币的恶意软件家族代表. - Trojan.LoadMoney
由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件. - Trojan.DownLoader
木马家族,用于在受攻击计算机下载其他恶意应用程序. - Trojan.InstallCore.1903
种不良应用程序和恶意应用程序安装器家族代表
Doctor Web统计服务器收集的数据结果
- JS.Downloader
用JavaScript语言编写的恶意脚本家族,在电脑上下载和安装其他恶意软件. - JS.Redirector
用JavaScript语言编写的恶意脚本家族,用于将浏览器用户自动重定向至其他网页. - Trojan.Zadved
是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息. - W97M.DownLoader
利用办公软件运行漏洞的木马下载器家族。旨在向被攻击的计算机下载其他恶意软件.
邮箱流量恶意程序统计
- JS.Downloader
用JavaScript语言编写的恶意脚本家族,在电脑上下载和安装其他恶意软件. - JS.Redirector
用JavaScript语言编写的恶意脚本家族,用于将浏览器用户自动重定向至其他网页.
Dr.Web Bot for Telegram的数据结果
- Joke.Locker.1.origin
锁定移动设备屏幕并显示Windows操作系统蓝屏(BSOD,Blue Screen of Death)的安卓玩笑程序. - Trojan.PWS.Spy.11887
种能够窃取包括用户密码在内的机密信息的Windows木马家族代表. - Android.Spy
感染安卓移动设备的多功能木马家族,能够读取并记录联系方式,接收并发送短信,确定GPS定位,读取并记录浏览器书签,获取移动设备IMEI信息及移动电话号码. - Trojan.PWS.Siggen1.1167
种能够窃取各种应用程序密码的Windows木马家族代表. - Android.Locker.139.origin
用于勒索用户钱财的安卓木马家族代表。此类恶意程序的各种变种能够显示烦人的消息,称用户似乎触犯了法律并因此锁定其移动设备,用户需要支付一定的金额进行解锁.
木马加密器
10月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
- Trojan.Encoder.858 — 申请的 26.85%
- Trojan.Encoder.761 — 申请的 21.01%
- Trojan.Encoder.3953 — 申请的 5.25%
- Trojan.Encoder.567 — 申请的 4.61%
- Trojan.Encoder.3976 — 申请的 2.92%
Dr.Web Security Space 11.0 for Windows
抵御木马加密器
大蜘蛛基础版Dr.Web Anti-virus for Windows授权不包含此功能
| 防止数据丢失 | |
|---|---|
 |  |
危险网站
2016年10月Dr.Web不推荐网站和恶意网站数据库新添338 670个互联网地址.
| 2016.09 | 2016.10 | 增幅 |
|---|---|---|
| +298,985 | +338,670 | +13.27% |
添加到Dr.Web不推荐网站和恶意网站数据库中的大部分网站属于欺诈性互联网资源。网络诈骗分子不断使用新方法欺骗互联网用户, 我们将在我公司网站发布的新闻中详述其中 一个欺诈网站。
欺诈网站“百万富翁探测器”的创建人利用群发垃圾邮件来吸引潜在受害者。网站会建议访问者测试“百万富翁探测器”软件,据说网站创建人已经利用这一软件赚得几百万美金。受害者需要向不法分子的账户转一定数额的金钱才能使用这一软件。当然,受害者转给不法分子的“押金”将有去无回。在域名注册数据库简单搜索即可查到,detektor-millionera.com域管理员是一个叫做Bob Douglas的人,此人名下有多个可疑互联网资源。.
Linux恶意程序
从10月初开始,Doctor Web公司技术人员共侦测到针对Linux设备的40 756次攻击,其中35 423次攻击使用的是SSH协议,5 333次攻击——Telnet协议。网络犯罪分子下载到受攻击设备上的恶意程序的比例关系如下:
- Linux.Downloader
用于将其它恶意应用下载到受损系统并进行安装的Linux恶意程序和脚本家族. - Linux.BackDoor.Fgt
用于发动DDoS攻击的Linux恶意程序家族。针对Linux不同版本(包括MIPS和SPARC架构的嵌入式系统)都有不同版本的木马. - Linux.DDoS.Xor
用于在不同网络节点发动DDoS攻击的Linux恶意程序家族.
下载恶意软件到Linux设备的IP地址地理分布如下:
10月末,Doctor Web公司病毒分析人员对威胁Linux用户的后门木马进行了研究。这一被命名为Linux.BackDoor.FakeFile.1的木马以PDF文件、Microsoft Office或Open Office文档形式在库中传播。这一恶意程序能够执行下列指令:
- 将当前连接期间发送的消息数量发送到控制服务器;
- 发送指定文件夹包含的文件列表;
- 将包含所有内容的指定文件或文件夹发送到控制服务器;
- 删除目录;
- 删除文件;
- 重命名指定文件夹;
- 自我删除;
- 启动复制的新进程;
- 断开当前连接;
- 组织backconnect并启动sh;
- 结束backconnect;
- 打开记录进程的可执行文件;
- 关闭进程文件;
- 创建文件或文件夹;
- 将所发送的数值记录到文件中;
- 获取指定目录中的文件创建日期、名称、分辨度和大小;
- 将指定文件的权限设为777;
- 结束后门木马活动
Linux.BackDoor.FakeFile.1更多详情请参阅Doctor Web公司发布的新闻
移动恶意软件和不良软件
9月末到10月初Doctor Web公司技术人员在Google Play目录侦测到木马Android.SockBot.1,该木马能够将被感染移动设备作为代理服务器,重定向互联网流量.
10月份最值得注意的移动安全事件有:
- • 在Google Play目录出现Android.SockBot.1木马,在感染移动设备后将移动设备作为代 理服务器使用.
10月份移动病毒情况更多详情请参阅移动威胁综述.