Doctor Web：2019年6月病毒活动综述

2019.07.03

6月份，Dr.Web服务器统计数据显示，与5月份相比，威胁总量和新威胁数量均大幅增加。所侦测到的威胁中广告程序和木马安装器总量最多，邮箱流量中的恶意软件最为活跃。现再度活跃的程序包括之前被用于攻击石油天然气公司的危险盗窃木马Trojan.PWS.Maria.3（Ave Maria）以及通过邮件群发传播的木马Trojan.Nanocore.23。后者具备远程访问权限，可控制被感染计算机。此外，6月份还出现利用木马加密器Trojan.Encoder.858的病毒活动。

本月威胁

6月份，Doctor Web病毒实验室对一个罕见的Node.js木马样本Trojan.MonsterInstall进行了研究。该木马在受害者的设备上启动后，会下载并安装运行所需的模块、收集系统信息并将其发送到病毒编写者的服务器。在收到服务器的回应后，木马还会将自身添加到自启动列表并开始开采（挖掘）TurtleCoin电子加密货币。该恶意程序编写者利用自己网页上的热门游戏作弊器来传播木马并感染其他类似网站上的文件。

此威胁更多信息

Doctor Web统计服务器收集的数据结果

本月的威胁：

Adware.Ubar.13

在设备上安装不良软件的Torrent客户端。

Trojan.InstallCore.3553

另一个众所周知的广告软件安装程序，未经用户同意，显示广告并安装其他程序。

Trojan.Winlock.14244

阻止或限制用户访问操作系统及其基本功能。解锁系统需要向木马编写者的账户转账。

Trojan.Starter.7394

一种在设备上启动其他恶意软件的木马。

Adware.Softobase.12

传播过时软件的安装程序。更改浏览器设置。

邮箱流量恶意程序统计

Exploit.Rtf.CVE2012-0158

修改过的Microsoft Office Word文档，利用CVE2012-0158漏洞执行恶意代码。

W97M.DownLoader.2938

利用Microsoft Office文档漏洞的木马下载器家族。用于在受攻击计算机下载其他恶意程序。

Exploit.ShellCode.69

利用漏洞CVE-2017-11882的Microsoft Office Word恶意文件。

本月增加的威胁：

Trojan.PWS.Maria.3

通过恶意Excel文件在邮箱中传播的盗窃木马。利用常见漏洞CVE-2017-11882启动可执行文件。在针对意大利石油天然气企业的网络钓鱼活动中被首次发现。

Trojan.Nanocore.23

一种具备远程访问权限的危险木马。帮助网络犯罪分子控制被感染计算机，包括设备上的摄像头和麦克风（如果有）。

加密器

6月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者：

• Trojan.Encoder.858 — 30.31%
• Trojan.Encoder.567 — 7.02%
• Trojan.Encoder.11464 — 6.47%
• Trojan.Encoder.11539 — 3.33%
• Trojan.Encoder.18000 — 3.14%
• Trojan.Encoder.28004 — 2.59%
• Trojan.Encoder.25574 — 1.66%

危险网站

2019年6月份Dr.Web不推荐网站和恶意网站数据库新添151 162个互联网地址。

移动恶意软件和不良软件

6月份，Doctor Web公司病毒分析人员再次在Google Play上侦测到大量恶意程序和不良程序，包括在其他应用程序和操作系统界面上显示广告横幅的广告木马Android.HiddenAds以及Android.FakeApp诈骗程序。后者加载网站，邀请潜在受害者参加在线调查以赚取奖金，并声称用户必须支付一定的佣金或检查费才能拿到奖金。如果受害者同意付款的话将一无所获。该家族另一个木马被命名为Android.FakeApp.174，加载诱导用户订阅骚扰通知和诈骗通知的网站。

6月份还出现新的木马下载器，例如Android.DownLoader.3200和Android.DownLoader.681.origin。上述木马下载器在安卓设备下载其他恶意应用。Doctor Web公司技术人员还对新广告模块Adware.OneOceans.2.origin进行了分析，编写者将其嵌入到程序和游戏。

6月份最值得注意的移动安全事件有:

• 在Google Play出现新的恶意程序。

6月份移动病毒情况更多详情请参阅移动威胁综述。