Doctor Web：2018年9月病毒活动综述

28.09.2018

病毒报告 | Hot news | Doctor Web公司新闻 | 病毒新闻

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "主页" }, { box => "月度威胁" }, { box => "统计信息" }, { box => "加密器 " }, { box => "危险网站 " }, { box => "保护移动设备" } ] %] [% BLOCK global.tpl_blueprint.content %]

2018.09.28

2018年9月份威胁巴西信贷机构客户的银行木马的传播令人印象深刻。Doctor Web公司技术人员发现300多个木马样本以及约120个供银行木马下载组件的互联网平台。9月份还出现多个新的危险安卓应用。

9月主要趋势

一种新的银行木马正在传播
出现新的安卓恶意程序

本月威胁

用于窃取信贷机构客户钱财的银行木马在全球范围内广为传播。9月份Doctor Web公司病毒分析人员将所研究的新银行木马命名为Trojan.PWS.Banker1.28321，该木马针对的是巴西用户。目前已发现340个独特的Trojan.PWS.Banker1.28321样本以及129个不法分子互联网资源的域名和IP地址，木马会从中下载带有恶意库的文档。

木马伪装成查看PDF文档的应用Adobe Reader进行传播，主要感染语言为葡萄牙语的Microsoft Windows计算机。Trojan.PWS.Banker1.28321的所有恶意功能都集中在被加密和打包的动态库中，该动态库由银行木马从不法分子的网站下载。

当用户在浏览器窗口中打开来自巴西各金融机构的网上银行网站时，该木马会暗中替换该网页，向受害者显示虚假的登陆页面。在某些情况下，木马要求指定银行发送给用户的短信验证码。随后将此信息发送给不法分子。此事件的更多信息请参阅我公司网站的新闻。

Doctor Web统计服务器收集的数据结果

JS.BtcMine: 用于暗中获取（采集）加密电子货币的JavaScript脚本家族。
Trojan.Encoder.567: 一种加密计算机文件并要求受害者支付解密的勒索木马家族代表。
Trojan.SpyBot.699: 一种用于拦截被感染设备键盘输入、执行接收指令并窃取机密信息的间谍木马。
Trojan.PWS.Stealer.1932: 一种能够窃取用户密码等机密信息的Windows木马家族代表。

邮箱流量恶意程序统计

Trojan.Encoder.567: 一种加密计算机文件并要求受害者支付解密的勒索木马家族代表。
JS.BtcMine: 用于暗中获取（采集）加密电子货币的JavaScript脚本家族。
Trojan.PWS.Stealer: 一种用于窃取被感染计算机密码等机密信息的木马家族。
W97M.DownLoader: 一种用于窃取被感染计算机密码等机密信息的木马家族。。

加密器

9月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者：

Trojan.Encoder.567— 申请的16,94%；
Trojan.Encoder.858— 申请的12,71%；
Trojan.Encoder.11464— 申请的10,68%；
Trojan.Encoder.25574— 申请的4,79%；
Trojan.Encoder.24249— 申请的4,42%；
Trojan.Encoder.11539— 申请的1,84%。

Dr.Web Security Space for Windows抵御木马加密器

设置DR.WEB抵御加密器

教程

免费恢复

DR.WEB RESCUE PACK

危险网站

2018年9月份Dr. Web不推荐网站和恶意网站数据库新添271 605个互联网地址。

2018.08	2018.09	增幅
+ 538 480	+ 271 605	– 49,5%

不推荐网站

移动恶意软件和不良软件

9月份Doctor Web公司技术人员再度记录到Android.Click家族木马在Google Play目录中的传播。其中许多木马被不法分子伪装成博彩公司官方应用。这些木马按照控制服务器指令打开博彩公司的网站，还可以随时加载包括欺诈网页在内的任意网站。此外，Android.Click.265.origin恶意程序再次入侵Google Play目录，伪装成知名公司的官方软件进行传播。Android.Click.265.origin加载具有高级服务的网站，自动点击按钮，确认订阅高价服务。

9月份在安卓官方软件目录中发现的恶意软件中还包括银行木马，如Android.Banker.2855、Android.Banker.2856和Android.Banker.283.origin。此类木马隐藏在看似无害的程序中。

此外，在2018年秋季的第一个月，网络犯罪分子开始传播用来进行网络间谍活动的危险木马Android.Spy.460.origin。9月发现的威胁还包括新版本商业间谍软件，如Program.SpyToMobile.1.origin、Program.Spy.11、Program.GpsSpy.9、Program.StealthGuru.1、Program.QQPlus.4、Program.DroidWatcher.1.origin、Program.NeoSpy.1.origin、Program.MSpy.7.origin和Program.Spymaster.2.origin。这些应用监视短信、通话记录、移动设备定位，将电话簿联系人列表复制到远程服务器，窃取Web浏览器访问历史记录及其他用户个人信息。

9月份最值得注意的移动安全事件有:

Google Play目录出现恶意应用；
间谍木马正在传播；
出现新的商业程序，用于跟踪安卓移动设备用户。

9月份移动病毒情况更多详情请参阅移动威胁综述。

和 Dr.Web 一起扩展知识

反病毒真相

教程

教育活动

手册

[% END %]