Doctor Web：2025年第二季度病毒活动综述

Dr.Web产品侦测统计信息显示，2025年第2季度侦测到的威胁总数与第一季度相比降低7.38%。独特威胁数量也下降了23.10%。受保护设备上最常侦测到的是广告软件、后门程序、广告木马和恶意脚本。电子邮件流量中最常见的威胁是木马下载器、各种恶意脚本以及木马投放器（trojian-dropper）。

受到勒索木马感染的用户最常遇到的加密器是 Trojan.Encoder.35534、Trojan.Encoder.35209 和 Trojan.Encoder.29750。

今年 4 月，我公司反病毒分析师通报在多款安卓智能手机的固件中发现了木马，网络犯罪分子利用这些木马来窃取加密货币。 此外，我们的专家还发现了一种安卓木马，攻击者将其嵌入到一款常用地图程序一个版本中，用于监视俄罗斯军方人员。

第二季度，我们的互联网分析师发现了许多新的欺诈网站，其中包括所谓的教育平台网站，谎称可接受在线培训并提高资质，更多的是以投资为名承诺可轻松赚快钱的网站。

移动设备的侦测统计数据显示，Android.HiddenAds 广告木马的活动有所减少，但该恶意软件家族仍然是最常见的安卓威胁。 与此同时，我们的反病毒实验室第二季度在Google Play目录中发现了许多新的威胁。

Doctor Web统计服务收集的数据

2025年第二季度最常见威胁：

VBS.KeySender.6

恶意脚本，无限循环搜索带有文本 mode extensions、разработчика 和 розробника 的窗口，并向其发送Escape 按钮被按事件，迫使窗口关闭。

Adware.Downware.20091

广告软件，经常用于盗版软件的中转安装器。

Trojan.BPlug.4242

Trojan.BPlug.3814

WinSafe 浏览器插件的恶意组件，为 JavaScript 脚本，用于在浏览器不断显示广告。

Trojan.Siggen30.53926

经攻击者修改的Electron框架主机进程，模仿Steam应用程序组件（Steam Client WebHelper）并加载JavaScript后门。

邮箱流量恶意程序统计数据

JS.Siggen5.44590

添加到公共 JavaScript 库 es5-ext-main 中的恶意代码。如果安装数据包的是俄罗斯时区的服务器，会显示特定消息。

JS.Inject

利用JavaScript语言编写的恶意脚本家族，将恶意脚本嵌入网页的HTML代码。

Win32.HLLW.Rendoc.3

一种网络蠕虫，通过可移动存储介质等进行传播。

W97M.DownLoader.2938

利用 Microsoft Office文档漏洞的木马下载器家族，功能是将其他恶意软件下载到受攻击的计算机。

PDF.Phisher.867

钓鱼群发邮件中使用的PDF文档。

加密器

2025年第二季度，勒索木马受害者的文件解密申请量较第一季度下降了 14.65%。

Doctor Web公司技术支持部门接收到的解密申请量动态：

2025年第二季度最常见的加密器：

• Trojan.Encoder.35534 — 占用户申请的 24.41％
• Trojan.Encoder.35209 — 占用户申请的 4.41％
• Trojan.Encoder.29750 — 占用户申请的 2.71％
• Trojan.Encoder.35067 — 占用户申请的 2.71%
• Trojan.Encoder.41868 — 占用户申请的 2.71％

网络诈骗

2025 年第二季度我公司的互联网分析师发现了许多谎称与教育有关的欺诈网站，提供所谓的职业培训的互联网资源。 例如，专为哈萨克斯坦用户设计的 名为SMM Academy 和 LearnIT KZ 的广告是可以“在 3 个月内获得 SMM 经理的职业技能”并“成为数据分析师”。

另一些网站吸引潜在受害者的是各种课程，包括英语和资本管理技能课程，分别来自EnglishPro 和 FinCourse两个 平台：

一个名为“金融教育”的欺诈性服务网站声称可以帮助提高金融知识水平，可让访问者“掌握理财，保障未来”：

而要“访问”这些网站所广告宣传的内容，需先注册个人数据，包括姓名、手机号码、电子邮件地址等。这些数据积累到犯罪分子手后可用于各种诈骗模式。

与此同时，还出现了新的伪投资项目的诈骗网站，网络犯罪分子常常将这些网站伪装得看似与知名公司和服务相关。例如， 其中一个项目为用户提供参与人工智能技术创新项目的机会，打着是幌子是奥迪汽车公司的一项服务，谎称可以实现加密货币的自动交易并可保证高收入，而“访问”这个服务则需要先支付 250 欧元的启动金。

另一个“投资项目”声称与社交网络 TikTok 有关，要求访问这个诈骗网站的人完成一份简短的调查，然后提供个人信息注册，谎称注册后可访问网站所承诺的服务：

此外，再次发现伪装成 WhatsApp官方网站资源的诈骗网站。其中一家欺骗访客获取数字币，每枚“每天可赚取 15 欧元”，还谎称只剩下160 枚数字币， 但在开始“用数字币赚钱”前必须提供个人信息并注册一个账户。事实上，注册后并不会收到任何数字资产，而个人数据却会落入了骗子的手中。

另一个虚假的 WhatsApp 网站宣传的是独特研发技术的交易机器人访问权限，称用户可“启动 WhatsApp Bot 并自动赚钱”。当然，权限需要注册个人数据，而这些数据自然会传送给攻击者。

诈骗者还将目标锁定为特定国家的用户。例如， 俄罗斯居民遭遇的诈骗网站是提供通过某种投资服务 “让他们的梦想成真”。攻击者设计此类资源使用的是相同的模板，仅仅是改变一下外观以及不存在的所谓投资平台的名称。

值得注意的是，基于相同模板的网站还针对其他国家的用户，如乌兹别克斯坦：

本季度发现的另一个欺诈网站诱骗对象是居住在欧洲的俄语用户。网络犯罪分子承诺者可以通过名为 LevelUPTrade 的平台所谓“新一代创新金融方案”获得每周高达 1,000 欧元的收入：

法国用户可能遭遇的是骗子提供可赚取 3,500 欧元的自动交易软件TraderA，当然这个软件其实根本不存在的：

对墨西哥居民骗子们准备的是“智能交易系统”QuantumIA，是已知的伪交易系统 Quantum System 或 QuantumAI 的一个变体，声称该系统可以使用量子计算和人工智能技术在金融市场进行自动交易。

另一个诈骗网站称代表一家大型银行向墨西哥用户提供投资服务，承诺在短时间内注册即可赚取 16,000 墨西哥比索，前提是必须提供个人信息。

德国用户面临的是成为虚假交易平台 Lucrosa Infinity 受害者的风险，这个平台多年来一直被网络犯罪分子以各种形式利用。其中一个欺诈网站的宣传是“现在开始投资，打开经济自由之门”：

网络犯罪分子向加拿大人提供的是使用“独特”服务的机会，称这些服务可以通过投资和交易加密货币获得高收入。 已发现的欺诈网站宣传 的是BitcoinFusionPro 和 BitcoinReaction 等“平台”，客户“仅”投资 350 加元，每天就可赚取 1000 加元：

波兰用户也会遇到过类似的虚假网站。其中一个向潜在受害者承诺利用“世界上最先进的加密货币管理软件”每天可赚取 950 至 2,200 美元：

另一个网站则是称投资250欧元每天可赚取 700 欧元：

另一个诈骗资源向波兰用户承诺借助自动化的 Click Money 系统可“在家工作并赚取可观的收入”，没有交易经验的人每年也可赚取高达 64,000,000 波兰兹罗提的金额：

移动设备恶意软件和不良软件

根据移动设备保护产品Dr.Web Security Space的侦测统计，2025年第二季度，在受保护的设备上最频繁侦测的是 Android.HiddenAds 广告木马。 但与上一季度相比，用户遭遇此类木马的频率有所降低。排在之后的是广告木马 Android.MobiDash 和恶意虚假程序 Android.FakeApp，前者的活动增加，后者活动量降低。

银行木马的活动也有增有减。如来自 Android.Banker 家族的攻击增加。同时，Android.BankBot 和 Android.SpyMax 家族木马在受保护设备的侦测频率有所降低。

第二季度，我公司专家在多款安卓智能手机的固件中侦测到木马 Android.Clipper.31。 该恶意软件隐藏在 WhatsApp 通讯程序的修改版中，用于窃取被感染设备所有者的加密货币。此外，我们的反病毒分析师还发现恶意软件 Android.Spy.1292.origin。网络犯罪分子将其嵌入到 Alpine Quest 地图软件的一个版本中，并用它来监视俄罗斯军事人员。

过去 3 个月中在Google Play 目录中发现了数十种威胁。其中包括恶意软件 Android.FakeApp 和新的不良广告软件 Adware.Adpush.21912。

第二季度主要移动安全事件：

• 广告木马 Android.HiddenAds 活动减弱
• 广告木马 Android.MobiDash 活动增加
• 银行木马 Android.Banker 侦测量增加
• 银行木马 Android.BankBot 和间谍软件 Android.SpyMax 攻击次数减少
• 侦测到隐藏在多款 安卓智能手机固件中的加密货币窃取木马
• 侦测到针对俄罗斯军事人员的间谍木马
• Google Play目录中出现新威胁

2025年第二季度份移动威胁更多详情请参阅移动威胁综述。