Doctor Web：2015年2月病毒活动综述

2015.03.04

二月虽然是一年中最短的一个月，但还是出现了新的恶意程序。2月初，Doctor Web技术人员对威胁OS Linux用户的复杂多功能木马进行了研究，并在月底公布了对Mac OS X后门木马新版本的分析结果。此外，在2015年2月针对Google Android移动平台的恶意程序依旧活跃。

本月威胁

2月末Doctor Web公司技术人员完成了对后门木马Mac.BackDoor.OpinionSpy.3的分析。不法分子利用这种木马来监视Mac OS X用户。这种木马在各种免费软件下载网站完全无害的应用程序内加入可执行文件，通过这种方式传播，并在用户以管理员权限安装应用时启动，在苹果电脑加载、安装并运行恶意应用程序。

Dr.Web Anti-virus for Mac OS X成功侦测并删除此恶意程序。后门木马更多详情参见相关新闻。

木马加密器

Doctor Web技术支持部接收到的解密申请数量

木马加密器在用户计算机加密文件后向用户勒索解密赎金，目前仍具有极大的危害性。

2015年2月最常见的加密器：

• Trojan.Encoder.567;
• Trojan.Encoder.398;
• Trojan.Encoder.741.

使用防止数据丢失功能，让破坏文件的木马无法得逞

只有Dr.Web Security Space版本9 和10具备此功能

了解加密木马详细信息

怎么办，如果..

免费解密

清除工具Dr.Web CureIt!统计数据结果

• Trojan.BPlug

  此插件用于常见浏览器，在用户浏览Web网页时显示烦人的广告。

• Trojan.MulDrop5.10078

  在被感染计算机安装各种不良应用程序和广告应用程序。

• Trojan.Yontoo

  针对常用浏览器的恶意插件家族，功用是在用户浏览Web网页时显示广告。

• Trojan.Lyrics

  木马家族，能够不经用户同意在屏幕上显示烦人的广告并在浏览器窗口打开内容可疑的Web网页。

• Trojan.LoadMoney

  由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件。

• Trojan.Packed.24524

  广告应用程序和不良应用程序的木马安装器。

Doctor Web统计服务器收集的数据结果

• Trojan.DownLoader12.19543

  此木马用于在浏览器窗口更换搜索系统输出结果并在社交网站显示虚假弹出消息。

• Trojan.OutBrowse.54

  利用联盟程序传播并用来将文件流量货币化的广告木马家族的一个代表。

• BackDoor.Andromeda.404

  木马下载器，用于从不法分子远程服务器下载并在被感染计算机上启动其他恶意程序。

• BackDoor.IRC.NgrBot.42

  非常常见的木马，信息安全技术人员在2011年首次侦测。此家族的恶意程序能够在被感染计算机执行接收到的不法分子指令，网络犯罪分子利用文本消息更换协议IRC（Internet Relay Chat）对其进行控制。

• Trojan.LoadMoney

  由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件。

邮箱流量恶意程序统计

• BackDoor.Andromeda

  木马下载器家族，用于从不法分子远程服务器下载并在被感染计算机上启动其他恶意程序。

• BackDoor.Siggen.58526

  该木马不经用户同意在被感染计算机下载并启动其他恶意程序，并能够执行不法分子指令。

• Trojan.Betabot.3

  该木马能够窃取输入到Web页面的数据（包括“银行-客户”系统），执行远程服务器的指令，修改被感染计算机上的DNS设置，并进行DDoS攻击。

• BackDoor.Bebloh.47

  属于银行木马范畴的恶意程序家族的一个代表。此应用程序给远程银行服务系统的用户造成威胁，使不法分子通过截取浏览器中填写的表单并嵌入到一些银行的网站页面来盗取机密信息。

僵尸网络

有很多新闻机构报道2015年2月24日经多个组织的共同努力，Rmnet僵尸网络指令服务器已被停机，但据Doctor Web公司技术人员监测，该僵尸网络的活动整体上并没有显著下降。下列图表显示的是Doctor Web公司监测的不法分子使用文件型病毒Win32.Rmnet.12创建的僵尸网络子网的活动情况：

僵尸网络Rmnet的更多信息参见我公司网站已发表的信息。

不法分子使用文件型病毒Win32.Sector创建的僵尸网络仍在活动：

文件型病毒Win32.Sector具有以下功能：

• 从P2P网络下载并在被感染机器上运行不同的可执行文件；
• 嵌入到被感染计算机的启动进程；
• 能够阻止某些反病毒程序运行并阻止访问反病毒产品厂商的网站；
• 感染本地磁盘和可移动载体上的文件对象（在感染过程中创建自启动文件autorun.inf）以及保存在共享网络文件夹的文件。

• BackDoor.Flashback.39

  是2012年4月开始大规模传播的Mac OS X木马程序。利用Java漏洞进行感染。木马功用是在被感染的机器下载并启动恶意代码，包括木马接收到的不法分子指令中指定的任何可执行文件。

针对Linux的威胁

不法分子对于Linux家族操作系统的兴趣并没有减少。在2月初，Doctor Web公司技术人员对一种Linux操作系统复杂多功能木马进行了分析，将其命名为Linux.BackDoor.Xnote.1。这一恶意程序执行不法分子针对文件系统操作的不同指令：

• 列出指定文件夹中的文件和文件夹；
• 将文件大小信息发送到服务器；
• 创建文件，并在其中保存接收到的数据；
• 接收文件；
• 将文件发送到控制服务器；
• 删除文件；
• 删除文件夹；
• 向控制服务器发送准备接收文件的信号；
• 创建文件夹；
• 重命名文件；
• 运行文件。

此外，木马还能启动指定环境变量的指令外壳（shell）并向控制服务器提供其访问权限，在被感染计算机上启动SOCKS proxy或自行建立服务器portmap，并组织DDoS攻击。

Linux.BackDoor.Xnote.1运行原则和传播方式的更多信息参见Doctor Web公司已发表的信息。

Linux木马Linux.BackDoor.Gates.5仍然活跃，继续针对各种互联网网页进行DDoS攻击。2015年2月侦测到有1129个独有IP地址遭受攻击，比上个月少3880个。这些地址大部分仍位于中国境内：

欺诈网站和不推荐网站

2015年2月Dr.Web不推荐网站和恶意网站的数据库中添加了22033个互联网地址。

Dr.Web Security Space 10.0中的父母控制组件保护用户免遭各种互联网诈骗。父母控制可以限制访问特定标题的互联网网站，过滤可疑内容以及使用不推荐链接的数据库，保护用户免受欺诈网站和风险网站的威胁，抵御传播恶意软件以及令人不快内容的互联网资源。

了解Dr.Web不推荐网站的更多详情

安卓恶意软件和不良软件

安卓恶意软件和不良软件

• 侵略性广告模块
• 勒索木马
• SMS木马
• 银行木马

• 广告模块

  上个月，安卓应用程序编写者大量使用各种侵略性广告系统，这一问题不容小觑：此类程序再次出现在Google Play目录上，被数千万用户下载。

• 勒索木马

  2月份侦测到的恶意应用程序中新出现了许多勒索木马，包括加密用户文件的极其危险的勒索木马加密器。

• SMS木马

  2月份Dr.Web病毒库添加了大量SMS木马记录，此类木马不经用户同意向付费号码发送高价短信。

• 银行木马

  银行恶意应用程序的传播仍给安卓操作系统用户造成严重威胁。网络罪犯分子再次攻击韩国安卓设备用户：不法分子组织了80多次垃圾短信群发，通过群发带有安卓木马下载链接的SMS消息来感染智能手机和平板电脑。

和 Dr.Web 一起扩展知识

病毒统计信息 病毒介绍信息库 所有病毒综述 live实验室