Doctor Web: 2021年度病毒活动综述

2021.01.21

2021年传播最广的安全威胁是为数众多的恶意软件，其中有用于传播和安装其他恶意软件的点滴木马以及木马加载器的各种变种，这些木马能够在被感染系统启动具备不同恶意功能的执行文件。此外，不法分子还大肆传播后门软件。

邮箱流量中最活跃的安全威胁是盗窃程序、使用VB.NET语言编写的各种后门程序变种。此外，不法分子利用邮件大量传播含有恶意内容的PDF文件、木马加载器以及伪造的著名网站登录页面。还有一部分利用邮箱传播的威胁是利用Microsoft Office文件漏洞的各种软件。

2021年我公司的病毒分析师公布了对几起安全事件的调查结果，其中一个是对用于定向进攻的后门模块Spyder。我公司技术人员侦测到黑客集团Winnti利用此样本对中亚国家的企业发动的定向进攻。

去年我公司技术人员还调查了针对俄罗斯科研单位的定向进攻。在调查过程中发现了未经授权的APT组织，其隐蔽活动长达近三年的时间。

不法分子与往年一样，并不是只针对Windows操作系统。安卓系统设备的用户也是其不断进攻的对象。众多恶意软件通过Google Play应用商店进行传播，而且我公司技术人员首次在AppGallery也侦测到木马。移动用户受到的安全威胁主要来自间谍程序和银行木马，能够加载其他恶意应用和执行任意代码的各种加载器以及其他诈骗软件。

2021年重大事件

3月份Doctor Web公司技术人员应中亚某电视传媒公司要求对一个用于定向进攻的后门模块展开深入研究。经调查，该公司网络遭受到Winnti黑客集团进攻，定向进攻所使用的后门样本BackDoor.Spyder.1的独特之处是其代码不直接执行恶意功能，此木马的主要任务是在被感染的系统隐身并与远程服务器建立连接后等待操控者的指令。

一个月后我公司技术人员公布了又一项研究结果。这一次受到进攻的是俄罗斯某科研单位。内网计算机出现的技术问题让该单位觉察到应该是内网服务器有恶意软件在活动。病毒分析师证实该科研单位遭受了定向进攻。进攻使用了多种后门程序，其中包括BackDoor.Skeye和BackDoor.DNSep。而且，该网络早在 2017年就已遭受第一次进攻，此后也曾多次受到多个不同黑客集团的定向进攻。

夏季Doctor Web公司公布在Windows 操作系统打印任务调度器出现重大漏洞，涉及所有常用的操作系统版本。不法分子利用漏洞可操控他人电脑，执行加载恶意加密木马后勒索解密赎金等恶意操作。漏洞CVE-2021-34527和CVE-2021-1675被命名为PrintNightmare。操作系统开发商很快就针对这两个漏洞发布了补丁包。

秋季伊始俄罗斯开始实施疫苗二维码，不法分子也开始趁机活动，包括仿造国家服务官网。这些钓鱼网站用来骗取用户的账号信息，侦测量激增近30%。诈骗分子最为猖獗时每日Dr.Web SpIDer Gate数据库就会增加几百个网址。

12月再次出现利用新冠疫情的诈骗活动。不法分子推出所谓的疫苗二维码生成器，而用户实际下载到的是多个恶意软件的压缩包，其中还包含一个执行文件，能够向受害者电脑加载挖矿软件。

去年给用户造成安全威胁的还有利用日志库Log4j 2漏洞的恶意软件。其中最为重大的威胁是Log4Shell (CVE-2021-44228)，能在使用库Log4j 2 进行日志记录时连接受不法分子控制的服务器并执行接收到的代码。网络犯罪分子利用这些漏洞传播挖矿软件、后门程序和DDoS木马。Dr.Web产品能够成功侦测利用漏洞入侵设备的恶意软件。

病毒传播

对Dr.Web统计数据进行的分析表明，2021年传播最广的是安装其他恶意软件的木马加载器。此外，各种后门软件以及用于暗中进行比特币挖矿 的木马也一直给用户造成安全威胁。

Trojan.BPlug.3867

浏览器恶意插件，用于向用户浏览的页面进行植入，并阻断他方广告。

Trojan.AutoIt.289

Trojan.AutoIt.961

使用AutoIt脚本语言编写的工具，嵌在挖矿程序或RAT木马中进行传播，能够执行各种恶意活动，妨碍对主要内容的侦测。

Tool.BtcMine.2449

在设备隐身挖矿的恶意软件。

BackDoor.RMS.178

BackDoor.RMS.82

远程控制计算机的后门程序。

Trojan.DownLoader35.65029

向受害者电脑加载恶意软件的木马。

Trojan.MulDrop9.2530

Trojan.MulDrop15.62039

传播、安装其他恶意软件的点滴木马。

JS.DownLoader.5684

利用JavaScript语言编写的木马，用于加载恶意软件。

邮箱流量中最常见的是后门程序、银行木马和利用Microsoft Office文件漏洞的各种恶意软件。不法分子利用钓鱼群发传播假冒的账号信息输入页面和恶意的PDF文件。

W97M.DownLoader.2938

利用Microsoft Office文档漏洞的木马下载器家族。用于在受攻击计算机下载其他恶意程序。

BackDoor.SpyBotNET.25

使用.NET语言编写的后门软件，能够操纵文件系统（进行复制、删除、创建目录等等）、结束进程和进行屏幕截图。

JS.IFrame.811

不法分子内置到网页的恶意脚本，其功能是价格用户定向到不良网站或风险网站、不断在浏览器显示广告，还可以跟踪用户操作。

Trojan.SpyBot.699

多模块银行木马。网络犯罪分子利用此木马在被感染设备加载、启动各种应用，并可执行任意代码。

Win32.HLLW.Rendoc.3

利用可移动载体和网络磁盘进行传播的蠕虫。

JS.Redirector.407

JavaScript语言恶意脚本，嵌入网页代码，用于将访客重定向到钓鱼和广告网站。

PDF.Phisher.313

用于群发钓鱼链接的恶意PDF软件。

Exploit.ShellCode.69

Microsoft Office Word恶意文件，使用漏洞CVE-2017-11882。

HTML.FishForm.209

利用钓鱼链接传播的网页，假冒知名网站登录信息输入页面。用户输入的信息会发送给不法分子。

JS.Siggen5.40409

利用JavaScript语言编写的恶意脚本。

加密器

与2020年相比， 2021年Doctor Web公司技术支持部门接收到的解密申请减少了26.6% 。下面是2021年解密申请数量动态图：

2021年最流行的加密器：

Trojan.Encoder.26996

加密器，又被称为STOP Ransomware。加密器试图从服务器获取私钥，如不成功则使用内置密钥，是木马加密器中比较罕见的使用Salsa20算法加密数据的一种。

Trojan.Encoder.567

使用Delphi语言编写的加密器。曾出现使用不同加密算法的多种版本。一般作为邮件附件进行传播。

Trojan.Encoder.29750

Limbo/Lazarus家族加密器。内置密钥，在与控制服务器失联时无法加载服务器生成的密钥时使用。

Trojan.Encoder.30356

使用Delphi编写的加密器，又被称为Zeppelin Ransomware。加密使用的是AES-256对称算法，而保护私钥使用的是RSA-2048不对称算法。

Trojan.Encoder.11539

加密器，有很多变种，使用不同的加密算法。大多作为邮件附件传播。加密用户文件使用的算法是CBC 模式下的AES-256。

网络诈骗

2021年Doctor Web公司技术人员侦测到大量危险网站，其中大多数与疫苗接种二维码相关。5月份侦测到的网页宣称可购买任何证明文件，包括新冠疫苗接种证明。不法分子为此颇费心机，甚至在网站发布一些揭露其他诈骗行径的文章来骗取信任。

此后不法分子更是一再利用疫情大肆建立网站和其他网络资源，出售疫苗接种二维码。夏季我公司的互联网分析师发现了很多私密聊天群，充斥着二维码销售信息以及虚假的购买者好评。

不法分子还推出所谓的疫苗接种二维码生成器，而实际上根本不存在什么二维码生成器，疫苗接种二维码只能利用俄罗斯国家服务官网链接生成。

移动设备威胁

根据Dr.Web for Android产品收集的统计信息， 2021 年安卓设备用户遭遇最多的是不断显示广告广告木马，大多是Android.HiddenAds, 家族的恶意软件，占侦测总量的83%。主要功能为加载其他软件以及加载和执行任意码的木马也广泛传播。与2020年相比，银行木马增加43%。

不良应用中最活跃的是模仿反病毒软件的Program.FakeAntiVirus家族软件，这些软件哄骗用户下载所谓可以侦测感染的完整版本。此外，在安卓设备经常可以侦测到用于监视用户操作的软件。

风险工具Tool.SilentInstaller的侦测量激增了53%。这类工具可以不安装安卓应用就将其启动，可正常使用，但也可用来传播木马。各种广告模块和广告软件也十分常见，占侦测量的10%。

过去一年我公司病毒分析师不断在Google Play目录发现各种威胁。其中有不法分子用于各种诈骗活动的Android.FakeApp家族假冒软件，能够加载执行任意码并为用户自动订阅收费服务的木马家族 Android.Joker，还有各类广告木马、广告应用和银行木马。此外，还有用于盗取Facebook账号的Android.PWS.Facebook家族恶意软件。

过去一年的标志性事件是首次在Huawei公司安卓应用商店AppGallery侦测到恶意软件，属于木马家族Android.Joker和恶意模块Android.Cynos.7.origin，这一模块的功能是窃取用户电话号码和显示广告。

2021年侦测到的安卓威胁中有一个是木马Android.Triada.4912。不法分子将其嵌入了名为APKPure的安卓软件商店的同名客户端应用APKPure的一个版本。这个木马能加载网站，下载其他恶意模块和各种应用。我公司技术人员还侦测到一个新的银行木马家族Android.BankBot.Coper。这一家族的木马能够拦截和发送短信，执行USSD申请、给屏幕上锁和解锁、显示推送通知和钓鱼窗口，还能够删除软件、拦截键盘输入和执行其他恶意功能。

过去一年我公司对俄罗斯市场上常见的儿童智能手表的进行了安全调查。结果显示此类设备的安全性很低，在其中一款侦测到了预装的木马。

前瞻

过去的一年让我们看到不法分子会抓住热门话题来进行各种诈骗活动。未来一年与新冠疫情以及其他新出现的热门话题相关的诈骗模式也只会更加狡猾多变。

此外，广告木马、各种加密器和其他恶意软件仍会大量传播。大企业个公司应更加重视信息安全。经验证明，任何忽视信息安全的行为都会大大增加企业网络被攻破的风险。2021年有很多重大安全事件与借助Ransomware as a Service (RaaS)模式传播的木马加密器有关。此类事件在新的一年也会有所增加。

安卓设备用户也须提高警惕，官方应用商店可能会出现的更多的安全威胁。