病毒活动综述:2014年9月出现的Mac OS X威胁等病毒事件
2014.10.13
病毒概况
根据清除工具Dr.Web CureIt!在9月份收集到的统计数据显示,在用户电脑上侦测到最多的是在常用浏览器浏览网页时显示令人厌烦的广告的Trojan.BPlug.123和Trojan.BPlug.100。使用清除工具扫描磁盘时常常会在操作系统中发现广告应用程序安装包Trojan.Packed.24524。这些数据和前几个月的基本一致。
根据9月Dr.Web统计服务器数据显示,和8月份一样,在用户计算机中侦测到的恶意应用程序中排在首位的是广告程序Trojan.Packed.24524,在被它感染的个人电脑中有0.66%,且数量仍持续增长: 7月,Trojan.Packed.24524数量占侦测到的总威胁数量的0.56%,8月份为0.59%。排在统计榜第二的是后门木马BackDoor.IRC.NgrBot.42,早在2011年Dr.Web病毒库已添加了该木马的首批样本。此外,9月份统计数据显示众多广告木马的传播,包括Trojan.InstallMonster.953、Trojan.Zadved.4等类似木马。
在邮箱流量侦测到的威胁中,之前已经失去了领先位置的木马下载器BackDoor.Tishop.122又重回榜首,在过去的30天中侦测数量从1.15%增加至1.54%。位于第二位的是这一常见威胁的变种BackDoor.Tishop.152,占1.03%。第三和第四是用于窃取密码和其它机密信息的木马——Trojan.PWS.Stealer.4118和Trojan.PWS.Turist.144.据。此外,BackDoor.Tishop家族的代表BackDoor.Tishop.148和BackDoor.Tishop.144也以电子邮件附件的形式广为传播。
9月份,Doctor Web公司技术人员监测到的僵尸网络没有发生显著变化。不法分子使用文件病毒Win32.Rmnet.12创建的僵尸网络的其中一个子网和之前一样,每天有265000个感染节点接入管理服务器,和8月的情况基本一致。但僵尸网络Win32.Sector上的病毒数量在过去的一个月小幅下跌:如果8月份每天约有65000个僵尸病毒,那么9月底僵尸病毒平均日感染总量为56000-58000个。感染后门病毒BackDoor.Flashback.39的Apple兼容电脑数量没有减少:9月份该僵尸网络平均感染数量为14000台Mac。此外,2014年9月Doctor Web公司技术人员发现了一个新的威胁Mac用户的僵尸网络,不法分子建立此僵尸网使用的是恶意程序Mac.BackDoor.iWorm。
针对Mac OS X的威胁
从Doctor Web公司技术人员侦测到僵尸网历史上由感染BackDoor.Flashback.39 木马的Apple兼容电脑组成的最大的僵尸网络以来,已经过去两年多,而针对该平台的恶意程序数量并没有减少。而且研究表明,病毒编写者在自己的“作品”中使用最新技术,此类威胁正在变得越来越复杂,功能也在扩展。不法分子对Mac OS X平台的兴趣很可能是基于该操作系统在用户中的日益普及,仅在2014年秋季的第一个月Dr.Web库的病毒分析师就记录了多个威胁苹果产品用户的危险程序:如后门木马Mac.BackDoor.Ventir.1和间谍木马Mac.BackDoor.XSLCmd,这一间谍木马不法分子是将之前针对Windows的恶意程序转用到了Mac OS X。该恶意程序会对2013年10月之前生产的Mac OS X设备(即10.8或更早版本)造成威胁。不法分子将Mac.BackDoor.XSLCmd下载到Apple兼容电脑的恶意Java脚本下载链接植入Google Analytics代码块中,Google Analytics是用于收集网页访问详细统计信息的免费服务。除了普通的间谍功能,Mac.BackDoor.XSLCmd还可以记录被感染Mac中的键盘输入并将屏幕截图发送给不法分子。
令信息安全技术人员特别感兴趣的是恶意程序Mac.BackDoor.iWorm,不法分子利用该程序创建了活跃的僵尸网络。该木马可以使被感染的Mac执行各种命令——如确定操作系统版本、获取僵尸木马版本和识别码、发送GET请求、下载文件、打开套接字以接入指令后续执行、执行系统指令,执行所插入的Lua语言脚本等命令。值得注意的是,这是一种非常复杂的木马,在运行中大量使用加密技术,该僵尸木马使用当前日期哈希函数MD5前8个字节的十六进制值向reddit.com网页搜索服务发出请求,查找管理服务器地址列表。根据搜索结果reddit.com给出列有僵尸网管理服务器和端口的Web网页,这些服务器和端口地址不法分子是通过使用用户名vtnhiaovyd在标题minecraftserverlists下发表评论的方式来公布的:
木马按照随机顺序逐一向所收到列表的前29个地址发送请求,试图与命令服务器建立连接。每5分钟向reddit网站重复发送请求以获取新名单。关于该恶意程序的更多详细信息和运行特点可在Doctor Web公司网站新闻或详细技术说明中找到。
Doctor Web公司技术人员研究该僵尸网络而收集到的统计分析表明,2014年9月30日在僵尸网络中共有19888个不同的IP地址,其中美国有5130个(25.8%),英国有1417个(7.1%),加拿大有1354个(6.8%)。2014年9月末Mac.BackDoor.iWorm僵尸网络的地理分布如下:
针对游戏玩家的木马
9月初Doctor Web公司技术人员在病毒库中添加了恶意程序Trojan.SteamBurglar.1记录,该程序目的是窃取Steam平台用户的游戏物品。Steam游戏平台是一个很热门的服务平台,传播电脑游戏,隶属于Valve公司,用户利用这一平台可从互联网下载游戏应用,激活、更新游戏,并了解游戏世界中的各种新闻。不法分子在Steam聊天室或专门论坛群发消息,建议观看待出售或交换的虚拟武器和其它物品的截图,从而传播 Trojan.SteamBurglar.1。木马通过计算机屏幕向潜在受害者展示各种游戏物品图片的同时,会在内存中搜索steam.exe进程,从中提取游戏物品信息,根据关键词rare、immortal、legendary等找出其中最贵重的物品。之后窃取这些物品并再次销售。被盗的物品会被发送到属于不法分子的一个账户中:
木马Trojan.SteamBurglar.1使热门多人游戏Dota2的一些玩家深受其害。关于该威胁的更多详细信息可以通过Doctor Web公司网站发布的相关信息进行了解。目前侦测到的这一恶意程序家族成员已达数十个。
9月病毒事件
秋季第一个月的病毒事件表明,病毒编写者并没有对恶意软件创作失去热情:针对计算机和移动设备的攻击都使用了新方法、已知恶意程序的升级版本和商业应用程序的恶意变种。
澳大利亚和英国用户的计算机已经连续两个月感染新木马加密器Trojan.Encoder.761,该木马要求支付350英磅解密。另一种“新”木马加密器Trojan.Encoder.759胃口小一些:要求受害者支付100美元,但如逾期不付,每24小时索要的赎金数目都会增加。这两种加密器都要求受害者使用加密电子货币Bitcoin支付解密。
网上银行系统(RBS)也成为不法分子的优先进攻目标。他们大多是对系统的客户端组织攻击,因为这一部分是银行客户管理系统中安全性较低的部分。为了将恶意软件隐藏在被感染的个人电脑中,病毒编写者使用带有恶意功能的合法程序的变种版本。进一步了解了利用能够远程控制计算机的合法程序Program.RemoteAdmin的恶意版本进行的攻击的技术细节,不法分子利用这一恶意版本将银行木马和键盘记录器下载受害人系统,然后就可以创建支付委托并发送到银行,将资金从受害人的账户转到不法分子的账户上。
9月不法分子使用木马BlackEnergy新版本,从国有企业和私营公司计算机系统硬盘上收集数据,主要攻击对象是波兰和乌克兰。该木马的第一个版本能够组织相对简单的DDoS攻击,在2007年就已被分析过。现在,这个简单的的DDoS攻击木马已变成了一个采用模块架构的复杂恶意程序,模块架构可以让不法分子根据攻击的目标更改木马功能。Dr.Web反病毒软件监测到了BlackEnergy的新变种Trojan.Siggen6.19887和BackDoor.BlackEnergy.73.
9月份病毒库中添加了恶意程序IPhoneOS.PWS.Stealer.2的又一记录,该程序能够攻击进行了越狱(Jailbreak)的iOS移动设备,其首批样本出现于2014年5月。木马窃取App Store购买应用程序所需的用户名和密码。IPhoneOS.PWS.Stealer.2入侵途径可能是在Cydia Substrate下载优化软件(tweak)或者选择越狱所需的程序时加载到设备。IPhoneOS.PWS.Stealer.2会在被感染设备上下载并安装虚假工具,使不法分子无需经用户同意即可进入App Store并购买应用程序。9月底发现了攻击Linux设备的后门木马——Linux.BackDoor.Shellshock.1和Linux.BackDoor.Shellshock.2。不法分子制作这一后门木马利用的是ShellShock(或CVE-2014-7169)漏洞,这一漏洞允许可以在基于Linux内核并使用Bash的操作系统(如CentOS、Debian、Redhat、Ubuntu)的设备上执行任意命令。被感染设备可能是服务器、调制解调器、路由器、监控摄像头以及其它嵌入式操作系统的连接互联网的硬件,其中很多设备的软件几乎不进行更新。ShellShock漏洞已被列为最高级别的安全威胁。
安卓威胁
9月份Doctor Web公司病毒库新增了大量针对安卓移动设备的恶意程序的新记录,其中排在首位的是被命名为Android.Locker.38.origin的木马上锁器。和大多数同类软件一样,该勒索木马对被感染移动设备锁屏并要求支付赎金解锁,此外该木马还可以利用密码再次锁定安卓智能手机或平板电脑,这大大增加了与其抗争的难度。关于Android.Locker.38.origin的更多详情可参见Doctor Web公司网站的新闻。
![]() |
![]() |
在9月份所侦测到的针对安卓操作系统的恶意应用程序中有很多银行木马的新变种,其中相当一部分使用SMS垃圾短信对韩国用户发动攻击。Doctor Web公司技术人员共发现了100多次垃圾邮件群发,以在韩国传播各种安卓恶意程序,其中最“流行”的木马是Android.Banker.28.origin、Android.BankBot.27.origin、Android.SmsBot.121.origin、Android.SmsSpy.78.origin、Android.Banker.32.origin和Android.MulDrop.21.origin。
针对中国用户的威胁也不容忽视。9月份Doctor Web公司技术人员侦测到了一种木马间谍,已被添加到病毒库,命名为Android.Spy.130.origin。该恶意程序窃取用户各种机密信息,如SMS短信、通话记录、GPS定位,还可暗中呼叫指定号码,把被感染的智能手机或平板电脑变成窃听设备。
月末发现的移动木马Android.Elite.1.origin和其它大多数安卓威胁都完全不同。不同之处在于,Android.Elite.1.origin不用于非法获取利益或者窃取用户有价值的信息,但它还是很危险。被装到移动设备上以后,该木马会将接入的内存卡格式化,导致一系列应用程序无法正常运行。此外,该恶意程序会群发短信,给受害者移动电话账户造成巨大的损失。关于该威胁的更多详情可参阅Doctor Web公司网站的相关介绍。
![]() |
![]() |