Doctor Web：2018年3月病毒活动综述

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [] %] [% BLOCK global.tpl_blueprint.content %]

2018.04.03

3月份，Doctor Web公司技术人员发现大量新的恶意程序并对其进行了研究。月初侦测到一起以Mail.Ru名义大规模群发钓鱼邮件的事件。此外，分析人员对多个属于Trojan.LoadMoney恶意软件大家族的新木马进行了研究。3月中旬还发现一个名为Trojan.PWS.Stealer.23012的危险木马，该木马能够窃取被感染设备中的文件和其他机密信息。此外，病毒分析人员还在3月份发现一系列针对安卓移动平台的恶意程序。

本月威胁

恶意程序Trojan.PWS.Stealer.23012从2018年3月11日开始传播。病毒编写者将木马链接发布到热门网站YouTube的视频评论中，大多视频是介绍如何利用专门应用程序进行游戏通关（即所谓的“作弊”）。网络犯罪分子试图将木马伪装成此类程序或其他实用工具。

木马会在被感染的计算机收集cookie文件以及常用浏览器保存的登录名和密码，进行截屏并从Windows桌面复制文件。被盗的信息以及被感染设备的位置信息会发送至不法分子的服务器。有关Trojan.PWS.Stealer.23012运行原则的更多信息请参阅我公司网站发布的文章。

Dr.Web反病毒产品收集的统计数据

Trojan.Starter.7394

一种主要用于在被感染系统启动带有特定恶意功能的可执行文件的木马家族代表。

Trojan.Inject

在其他程序进程嵌入恶意代码的恶意程序家族。

Trojan.Zadved

是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能，可更换各种网站显示的广告消息。

Trojan.Moneyinst.520

一种在受害者计算机上安装包括木马在内各种软件的恶意程序。

Trojan.Encoder.11432

一种在受害者计算机上启动危险木马加密器的网络蠕虫。又称WannaCry。

Doctor Web统计服务器收集的数据结果

BackDoor.Meterpreter.56

一种恶意程序家族代表，使不法分子可以远程控制被感染的计算机并向其发送各种指令。

JS.Inject

一种用JavaScript语言编写的恶意脚本家族，可将恶意脚本嵌入到网站HTML代码。

BackDoor.IRC.Bot.4771

一种恶意程序家族代表，使不法分子可以远程控制被感染的计算机并向其发送各种指令，利用文本消息更换协议IRC（Internet Relay Chat）对其进行控制。

Trojan.Encoder.11432

一种在受害者计算机上启动危险木马加密器的网络蠕虫。又称WannaCry

JS.DownLoader

一种用JavaScript语言编写的恶意脚本家族，可在电脑上下载和安装其他恶意软件。

邮箱流量恶意程序统计

JS.Inject

一种用JavaScript语言编写的恶意脚本家族，可将恶意脚本嵌入到网站HTML代码。

Trojan.Encoder.24788

一种勒索木马家族代表，加密计算机文件并要求受害者支付解密。

Java.Jrat.58

一种使用Java语言编写，用于远程控制计算机（Remote Access Tools, RAT）的恶意程序。

Trojan.PWS.Stealer

一种用于窃取被感染计算机密码等机密信息的木马家族。

加密器

3月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者：

• Trojan.Encoder.858 — 申请的 15.38%;
• Trojan.Encoder.11464 — 申请的 7.26%;
• Trojan.Encoder.11539 — 申请的 6.62%;
• Trojan.Encoder.24249 — 申请的 5.77%;
• Trojan.Encoder.567 — 申请的 3.63%;
• Trojan.Encoder.2667 — 申请的 2.35%.

危险网站

3月初，Doctor Web公司报道出现大量以Mail.Ru公司名义群发的网络钓鱼邮件。不法分子在邮件中提醒收件人在Mail.Ru服务器上的帐户将被锁定并建议重新进行授权。邮件包含的链接将用户转至伪造的Mail.Ru网站，并且将用户输入的信息立即转给不法分子。

虚假的网站地址已添加到Dr.Web办公控制和父母控制数据库。

2018年3月Dr.Web不推荐网站和恶意网站数据库新添624 474个互联网地址。

2018.02	2018.03	增幅
+ 1 174 380	+ 624 474	- 46.8%

Dr.Web不推荐网站详情

其他信息安全事件

将其他恶意程序下载到被感染的计算机的Trojan.LoadMoney家族木马最早在2013年为人所知。3月份，Doctor Web公司病毒分析人员对该家族的多个新木马进行了研究。病毒编写者没有在恶意代码中添加任何在屏幕显示的内容，所以这些木马的行踪不会在被感染的系统中有所体现，不容易被发现。Trojan.LoadMoney家族恶意程序的更多信息请参阅我公司发布的综述。

移动恶意软件和不良软件

3月份，Doctor Web公司技术人员发布了对Android.Triada.231的研究结果，该木马被病毒编写者嵌入到40多款安卓智能手机的固件中，能够感染所有应用程序的进程，并暗中执行各种恶意操作。3月份，技术人员还在Google Play目录中发现大量新的木马程序，其中包括能够加载并显示任意网页的Android.Click家族代表以及银行木马Android.BankBot.344.origin。此外，还侦测到基于恶意应用Android.BankBot.149.origin源代码创建的新银行木马，将其中一个银行木命名为Android.BankBot.325.origin，能够显示网络钓鱼窗口，用来从事网络间谍活动，并使不法分子远程访问被感染设备。

3月份最值得注意的移动安全事件有:

• 在数十款安卓智能手机中发现木马；
• 出现新的银行木马；
• 在Google Play目录发现恶意程序。

3月份移动病毒情况更多详情请参阅移动威胁综述 。

[% END %]