病毒活动综述:2014年8月出现的广告木马等病毒事件
2014.09.10
病毒概况
清除工具Dr.Web CureIt!在8月份收集到的数据表明,在过去一个月,恶意软件的传播情况并没有发生变化:排名在前面的仍是不法分子向用户显示令人厌烦的广告的浏览器插件。这些依旧排名在前的木马包括Trojan.BPlug.123、Trojan.BPlug.100、Trojan.BPlug.48以及广告程序安装器Trojan.Packed.24524。
Dr.Web统计服务器收集的信息表明,用户电脑上侦测到的威胁和7月份没有太大不同。和之前的一个月一样,不良程序安装器Trojan.Packed.245248月仍排在第一位,大约占侦测到的木马总数的0.59%(7月份是0.56%)。Trojan.MulDrop家族各种木马、以同名联盟程序传播的Trojan.InstallMonster家族不良程序安装器也位于病毒榜前列。
8月的邮箱流量感染情况和7月一样,最常见的恶意程序是Trojan.Redirect.197,该木马将受害人重定向至各种恶意网站。通过群发邮件传播的木马下载器BackDoor.Tishop.122排在第二位,侦测到的该木马数量在过去的一个月中从1.6%下跌到1.15%。不法分子还通过电子邮件发送Trojan.DownLoad家族下载器不同变种和Trojan.PWS.Panda家族危险的银行木马。
8月份Doctor Web公司技术人员监测到的僵尸网络的数量和状况没有发生重大改变。Win.Rmnet.12两个子网中的其中一个子网每日平均连接到管理服务器27万次,比7月份略多。在不法分子使用文件病毒Win32.Sector建立的僵尸网络中,活跃僵尸的日均数量仍为65000-67000。而感染木马程序 BackDoor.Flashback.39的Mac OS X操作系统电脑的僵尸网络数量略为减少:8月末大约感染了13000台机器,比7月少1000台。
广告木马
在浏览器窗口中显示带有烦人广告的浮窗或将其嵌入到用户浏览的网页中的木马程序,最近同对电脑磁盘中储存的用户文件加密的木马加密器一样,传播非常广泛。根据Dr.Web Anti-virus侦测到的威胁统计信息,广告木马连续几个月毫无疑问位居前列。
该类型木马主要传播源是以文件流量货币化为目的的各种联盟程序。广告木马偷偷与其它软件一起安装,而且经常伪装成有用的应用程序,除了开发者提到的基本功能,该木马同时实现其恶意功能。另外,不法分子还会利用公开欺诈的方式来这传播种恶意程序,如伪造文件共享网站并和洪流跟踪,通过在假冒论坛或者在搜索某种问题时出现的“问题与回答”类资源网页诱惑用户进入这些伪造网站。
类似恶意程序可分为两种类型:第一种类似于Trojan.BPlug家族代表以及Trojan.Admess、Trojan.Triosir和Trojan.Zadved木马,伪装成常用浏览器插件,替换不同网站上的广告模块或显示横幅的浮窗,这种情况下用户常常察觉不出电脑已被感染。
不仅是Windows操作系统的电脑用户,Mac OS X操作系统用户也同样会遭受这种威胁:不法分子传播是Trojan.Downlite家族木马恶意插件能够嵌入到Safari和Google Chrome浏览器。
另一种类型的广告木马比较少见,和一般恶意软件一样为单独运行。这种木马使用所谓的Web注入技术替换网页内容,,这也是银行木马经常使用的技术:从远程服务器上加载网页后恶意程序将从管理中心接收到的HTML或者JavaScript语言代码嵌入到网页改变其内容,之后才会在浏览器打开,Doctor Web公司上个月在官网上公布的Trojan.Mayachok.18831就是这种传播方式。
除了令人厌烦的广告,该恶意程序还能够修改社交网络上受害人的个人资料页面,使页面上包含淫秽的照片和文字,并在尝试更改个人资料内容时要求付费。Trojan.Mayachok.18831还具备一系列其它危险功能,详情请参阅该威胁的详细技术说明。
为了避免成为广告木马的受害者,请遵守以下基本安全规则:不要从可疑的来源下载或安装软件,不要运行以电子邮件消息附件形式传播的可执行文件,当然,还需要电脑上使用的是最新反病毒软件。
8月威胁
在8月初,侦测到了一中用于伪造网站访问量或各种广告横幅点击量的木马点击器。该木马利用程序联盟Installmonster传播,此程序联盟专门向容易轻信的用户传播包括广告木马在内的各种恶意程序。对该木马的介绍参见Doctor Web公司的新闻。
中国病毒编写者也没闲着,今年夏天初期传播的针对Linux的大量木马程序就是他们的“杰作”,这些木马目的在于组织大规模DDoS攻击。此次“推出”的是恶意程序变种,能够在Microsoft Windows家族操作系统的电脑上运行。更多相关信息请参见我们网站的相关介绍。
8月病毒事件
许多美国公民成为了恶意程序Android.Locker.29.origin的受害者,该程序能够锁定智能手机,并要求支付解锁:根据公开渠道的数据,8月份大约有90万的安卓设备感染了该木马。木马伪装成反病毒软件和其它合法应用程序。最初,感染Android.Locker.29.origin木马的用户设备都在欧洲。目前,病毒编写者开发了目标受众是美国居民的版本。感染木马的智能手机数量剧增可能与此有关。
此外,安卓设备感染数量剧增还与8月中旬木马Android.Dendroid.1.origin源代码被开放有关,该木马能够窃取机密信息,在用户不知情的情况下拨打特定号码、打开网页,并执行其它恶意功能。
8月底出现了不法分子利用潜在受害者对乌克兰东部冲突的兴趣而传播的垃圾邮件群发。据称,垃圾邮件发送的链接中的程序目的在于对乌克兰政府的网络资源进行攻击。事实上,恶意程序BackDoor.Slym.3781被下载到受害者电脑上后,将被感染设备连接到僵尸网络Kelihos,监控流量并窃取受害者的机密信息。被感染设备连接的命令服务器位于乌克兰、波兰和摩尔多瓦共和国。
安卓威胁
与前几个月一样,8月份各国安卓系统用户也绝非可高枕无忧:网络犯罪分子试图再次利用各种恶意应用程序感染用户的移动设备,Doctor Web公司病毒库添加了一系列新的安卓木马记录。
例如,中国用户面临着以Android.SmsSend.1404.origin木马为代表的威胁,该木马功能是窃取机密信息,并在移动设备上安装另一恶意程序。这种短信木马的特点之一是能够通过发送包含木马副本下载链接的短信进行自我复制,属于传统短信蠕虫的功能。被安装的恶意程序能够接收网络犯罪分子的指令,发送和拦截短信。该木马已被添加到病毒库,命名为Android.SmsBot.146.origin。
 |
 |
 |
不容忽视的还有锁定安卓移动设备的新的勒索木马。此类恶意程序中被命名为Android.Locker.27.origin的一款木马与类似的大多数威胁不同,只要用户输入一个由14位数字组成且非特定数字组合,就可以为被感染的移动设备完全免费解锁。这种情况下,木马会自动解锁,并启动自我删除程序。该威胁更多详情参见Doctor Web公司网站新闻发布中的介绍。
 |
 |
韩国用户再次受到威胁:Doctor Web公司技术人员在8月份记录了利用短信传播安卓木马的100余次垃圾邮件群发。 被安卓设备韩国用户安装到其移动设备的恶意软件中最常见的有:Android.Banker.28.origin、 Android.SmsBot.121.origin、 Android.SmsSpy.78.origin和Android.MulDrop.14.origin。
除了大量利用短信群发,网络犯罪分子也没有忘记其它传播安卓威胁的方法。上个月信息安全技术人员发现了包含危险的移动后门木马Android.Backdoor.96.origin下载链接的垃圾邮件群发,该木马伪装成反病毒软件,能够在被感染的安卓设备上执行一系列危险操作。其中,该木马能够窃取机密信息,如短信、通话记录以及网页访问历史记录、电话簿联系人、GPS定位等。此外,该恶意程序能够在屏幕上显示各种消息、处理USSD申请、激活内置麦克风、以音频文件形式记录手机通话并连同保存在移动设备中的其它数据一起上传到不法分子服务器。
 |
 |