Doctor Web:2017年2月病毒活动综述
2017.02.28
冬季的最后一个月值得注意的事件是出现了一种新的银行木马,这一木马继承了常见银行木马家族Zeus (Trojan.PWS.Panda)的源代码片段,在用户浏览的网页嵌入第三方内容并在被感染计算机中启动VNC服务器。此外,2月份Doctor Web公司病毒分析人员还侦测到一种新的Linux木马。Dr. Web安卓病毒库也添加了新的记录。
2月主要趋势
- 一种新的银行木马正在传播
- 出现一种危险的Linux恶意程序
- 出现新的安卓移动木马
本月威胁
银行木马能够直接从受害者信贷机构账户窃取钱财,是最危险的一种恶意程序。Doctor Web公司病毒分析人员在2月份对一种新银行木马进行了研究并将其命名为 Trojan.PWS.Sphinx.2。这一木马能够执行Web注入,即将第三方内容注入到用户浏览的互联网网页中。利用这种方式木马就能创建虚假的银行登录窗口,并将用户输入的银行登录帐号和密码传送给不法分子。下面就是 Trojan.PWS.Sphinx.2嵌入到bankofamerica.com网页的代码示例:
此外, Trojan.PWS.Sphinx.2 还能够在被感染计算机启动VNC服务器,网络犯罪分子可以利用这一服务器连接被感染设备并在其系统中安装数字证书,进而利用MITM(Man in the middle, “中间人攻击”)技术发动攻击。木马还包含捕获器(一种可以拦截受害者登录不同网站时输入的信息并将其发送到远程服务器的模块)。 Trojan.PWS.Sphinx.2 还可以利用PHP语言的特殊脚本自行启动。这一恶意程序详情请参见Doctor Web公司网站发布的 新闻。
清除工具Dr.Web CureIt!统计数据结果
- Trojan.InstallCore
一种不良应用程序和恶意应用程序的安装器家族 - Trojan.LoadMoney
由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件。 - Win32.Virut.5
一种感染可执行文件并远程控制被感染计算机的复杂多态病毒。
- Trojan.Zadved
是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息。 - Trojan.InstallCore
一种不良应用程序和恶意应用程序的安装器家族。 - JS.DownLoader
一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意软件。 - BackDoor.IRC.NgrBot.42
2011年被信息安全技术人员首次侦测的一种非常常见的木马。此家族的恶意程序能够在被感染计算机执行接收到的不法分子指令,网络犯罪分子利用文本消息更换协议IRC(Internet Relay Chat)对其进行控制。
邮箱流量恶意程序统计
- JS.DownLoader
一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意软件。 - Trojan.Zadved
是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息。 - Trojan.PWS.Stealer
一种用于窃取被感染计算机密码等机密信息的木马家族。
Dr.Web Bot for Telegram的统计数据结果
- Android.Locker.139.origin
用于勒索用户钱财的安卓木马家族代表。此类恶意程序的各种变种能够显示烦人的消息,称用户似乎触犯了法律并因此锁定其移动设备,用户需要支付一定的金额进行解锁。 - Joke.Locker.1.origin
锁定移动设备屏幕并显示Windows操作系统蓝屏(BSOD,Blue Screen of Death)的安卓玩笑程序。 - Android.HiddenAds.24
一种用来显示烦人广告的木马 - Android.SmsSend.15044
用来发送高价短信并给用户订阅各种付费内容服务等服务的恶意程序家族代表。 - BackDoor.Comet.2020
能够在被感染设备执行不法分子指令并为其提供非法访问权限的恶意程序家族代表。
木马加密器
2月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
- Trojan.Encoder.858 — 申请的 31.16% ;
- Trojan.Encoder.567 — 申请的 6.70% ;
- Trojan.Encoder.3953 — 申请的 4.70% ;
- Trojan.Encoder.761 — 申请的 3.31% ;
- Trojan.Encoder.3976 — 申请的 1.91% .
Dr.Web Security Space 11.0 for Windows
抵御木马加密器
大蜘蛛基础版Dr.Web Anti-virus for Windows授权不包含此功能。
| 防止数据丢失 | |
|---|---|
 |  |
2017年2月Dr.Web不推荐网站和恶意网站数据库新添134 063个互联网地址。
| 2017.01 | 2017.02 | 增幅 |
|---|---|---|
| + 223,127 | + 134,063 | -39.9% |
Linux恶意程序
感染Linux设备的木马已不少见,而2月份Doctor Web公司病毒分析人员侦测到一种的恶意程序却实属罕见:这一程序在Microsoft Windows计算机启动后会搜索网络存在的各种Linux设备,进而进行感染。
此木马被命名为 Trojan.Mirai.1。这一恶意程序从控制服务器下载IP地址列表,在被感染设备启动搜索仪,搜索仪会询问这些地址并试图利用配置文件中指定的用户名和密码组合登录。使用Telnet协议连接Linux设备时,木马会向受损节点上传一个二进制文件,而这一文件可以下载并启动恶意程序 Linux.Mirai。此外, Trojan.Mirai.1还能够执行不法分子发出的指令并执行多种恶意操作。该木马功能详情请参见我公司网站发布的。 综述.
2月份Doctor Web公司病毒分析人员还对使用Go语言编写的木马 Linux.Aliande.4进行了研究。这一木马的功用在于使用按照字典穷举密码(Brute Force)的方法攻击远程节点。 Linux.Aliande.4利用从控制服务器获取的IP地址列表按照SSH协议访问远程设备,并将成功选配的用户名/密码列表发送给不法分子。
移动恶意软件和不良软件
2月份出现通过Google Play目录传播的木马Android.Click.132.origin。这一恶意程序能够暗中打开网页并自行点击广告横幅。病毒编写者以此获利。
2月份最值得注意的移动安全事件有:
- 出现一种暗中加载带有广告的网页并自动点击广告横幅的安卓木马。
2月份移动病毒情况更多详情请参阅 移动威胁综述.