Doctor Web：2018年7月病毒活动综述

31.07.2018

病毒报告 | Hot news | Doctor Web公司新闻 | 病毒新闻

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "主页" }, { box => "月度威胁" }, { box => "统计信息" }, { box => "加密器" }, { box => "危险网站" }, { box => "保护移动设备" } ] #FILE_REVIEW = 'https://st.drweb.com/static/new-www/news/2018/DrWeb_review_august_2018.pdf' %] [% BLOCK global.tpl_blueprint.content %]

2018.07.31

7月初Doctor Web公司病毒分析人员对一种新的挖矿木马进行了分析，该木马传播方式十分少见。同时7月份垃圾邮件发送者也非常活跃，大力宣传诈骗网站。此外，Dr.Web病毒库还添加了针对安卓移动平台的新恶意程序记录。/p>

7月主要趋势

出现危险的挖矿木马
正在群发欺诈性邮件
出现新的安卓木马

本月威胁

信息安全技术人员发现一种利用应用更新机制进行传播的恶意程序，利用这种方式攻击用户的有木马加密器 Trojan.Encoder.12544（Petya、Petya.A、ExPetya和 WannaCry-2）和后门木马BackDoor.Dande。7月份，一名用户向Doctor Web技术支持部门求助，称尽管每次反病毒产品都会进行删除，但其电脑中还是会定期出现电子加密货币挖矿应用。分析人员的研究结果显示，这起事件的罪魁祸首是一种用于网吧自动化处理的名叫“电脑大厅”的软件。

该软件的更新机制自动从互联网下载挖矿木马Trojan.BtcMine.2869并将其安装到系统。7月9日，Doctor Web公司技术人员侦测到2700台电脑感染这一木马。该事件详情请参阅我公司网站发布的文章。

Doctor Web统计服务器收集的数据结果

JS.BtcMine: 用于暗中获取（采集）加密电子货币的JavaScript脚本家族。
JS.Inject: 一种用JavaScript语言编写的恶意脚本家族，可将恶意脚本嵌入到网站HTML代码。
Trojan.DownLoader: 用来在受攻击计算机下载其他恶意应用的木马家族。
Trojan.Starter.7394: 主要功用是在受感染的系统中启动带有特定恶意功能的可执行文件的一个木马家族代表。

邮箱流量恶意程序统计

JS.Inject: 一种用JavaScript语言编写的恶意脚本家族，可将恶意脚本嵌入到网站HTML代码。
JS.BtcMine: 用于暗中获取（采集）加密电子货币的JavaScript脚本家族。
Trojan.PWS.Stealer: 一种用于窃取被感染计算机密码等机密信息的木马家族。
Trojan.Inject: 在其他程序进程嵌入恶意代码的恶意程序家族。

加密器

7月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:

Trojan.Encoder.858 — 申请的 17.69%;
Trojan.Encoder.25574 — 申请的 11.38%;
Trojan.Encoder.11464 — 申请的 8.06%;
Trojan.Encoder.567 — 申请的 5.08%;
Trojan.Encoder.5342 — 申请的 3.85%;
Trojan.Encoder.24249 — 申请的 3.33%.

Dr.Web Security Space for Windows抵御木马加密器

设置DR.WEB抵御加密器

教程

免费恢复

DR.WEB RESCUE PACK

危险网站

7月份，Doctor Web公司技术人员记录到多起带有各种诈骗资源广告邮件链接的群发。其中，垃圾邮件以Yandex公司的名义发送消息，建议用户将邮箱与passport.yandex.ru帐户绑定。此时，诈骗分子为收件人提供的链接确实会打开Yandex门户网站，而另一个声称用户获得一定奖金的链接会引导潜在受害者打开网络诈骗分子的网站，诱骗用户为获取礼物先支付数目不大的金额。

一些诈骗消息会附有类似Google Docs公共服务的网站链接，不法分子在其中放置一个带有图片的网站，该图片模仿自动防止机器人操作的reCAPCHA标准面板。用户用鼠标单击这张图片就会被重定向到各种网络钓鱼网站。

Doctor Web公司分析人员侦测到的所有诈骗资源地址都已被添加到Dr.Web父母控制和办公控制不推荐网站数据库。

2018年7月份Dr.Web不推荐网站和恶意网站数据库新添512 763个互联网地址。

2018.06	2018.07	增幅
+ 395 477	+ 512 763	+29.6%

不推荐网站

移动恶意软件和不良软件

7月份在Google Play目录出现多个危险的恶意程序。其中一个被命名为Android.Banker.2746的木马能够在启动银行应用时显示伪造的个人信息输入窗口，另一个被命名为Android.DownLoader.753.origin的木马从不法分子的服务器下载安卓银行木马，防止主要恶意程序在Google Play中的暴露。7月份还有其他银行木马正在传播。其中一个命名为 Android.BankBot.279.origin，在用户访问欺诈网站时被下载到移动设备。同时，7月份不法分子再度传播一个恶意后门木马，Doctor Web公司病毒分析人员于2017年4月已将其发现。该木马监视用户并传播能够感染Windows计算机的蠕虫。此外，Doctor Web公司技术人员侦测到多种从事网络间谍活动的新程序并对其进行了研究，将其分别命名为Program.Shadspy.1.origin和Program.AppSpy.1.origin。

7月份最值得注意的移动安全事件有:

Google Play目录出现新木马；
安卓银行木马正在传播；
不法分子用来感染Windows计算机的安卓后门木马正在传播；
出现新的商业间谍木马。

7月份移动病毒情况更多详情请参阅移动威胁综述。

和 Dr.Web 一起扩展知识

反病毒真相

教程

教育活动

手册

[% END %]