Doctor Web:2015年4月病毒活动综述
2015.04.30
4月主要趋势
- 不法分子试图对多家俄罗斯国防企业进行定向攻击。
- 出现威胁多家信贷机构客户的新的多组件银行木马。
- 针对OS Windows和Linux的危险后门木马正在传播。
- 出现针对Google Android移动平台的新恶意程序。
本月威胁
4月初Doctor Web公司技术人员完成了对命名为Trojan.Dridex.49的危险多组件银行木马的分析。此恶意程序由木马运行所需配置数据生成组件、启动组件、引擎以及补充模块组成。,特点是使用P2P协议连接控制服务器。
按照不同的指定参数,Trojan.Dridex.49可嵌入向导(explorer.exe)或浏览器(chrome.exe、firefox.exe、iexplore.exe)进程。木马与其控制服务器间交换的所有数据均进行加密。此恶意程序在被感染计算机可扮演下面一种角色:
- bot — 在没有外在IP地址的计算机运行的木马;
- node — 在具有外在IP的计算机运行的木马,能够接收第一类木马发出的数据并将其发送给第三类木马;
- admin node —在具有外在IP的计算机运行的木马,能够将第二类木马发来的数据转给其他admin node或控制服务器。
换句话说,僵尸木马Trojan.Dridex.49利用bot -> node -> admin node -> 其他admin node -> 控制服务器来交换数据,通过交换密钥保证木马间连接的安全性。僵尸网络内部交互作用示意图如下:
Trojan.Dridex.49 主要功用在于执行Web-inject,即将第三方内容嵌入到用户浏览的各种金融机构的网页。
木马能够窃取用户输入到各种格式的机密信息,使不法分子获取受害者银行账户访问权限,进而窃取账户。Doctor Web公司技术人员发现Trojan.Dridex.49能够窃取80多个银行网页和其他互联网网页的信息,其中包括许多著名金融机构,如Royal Bank of Scotland、TCB、 Santander、Bank of Montreal、Bank of America、HSBC、Lloyds Bank、Barclays。Trojan.Dridex.49特征码已被添加到病毒库,Dr.Web反病毒产品用户不必为此担忧,您的设备处于可靠保护之下,此恶意程序无法入侵。
清除工具Dr.Web CureIt!统计数据结果
4月份共侦测到73 149 430个恶意对象和风险对象。
Trojan.Siggen6.33552
用于安装其他危险软件的恶意程序。
Trojan.Yontoo
针对常用浏览器的恶意插件家族,功用是在用户浏览Web网页时显示广告。
Trojan.LoadMoney
由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件。
Trojan.Click
这一家族的恶意程序通过控制浏览器行为,重新定向受害者访问特定网站的请求,虚报各种互联网资源的访问量。
Trojan.Lyrics
木马家族,能够不经用户同意在屏幕上显示烦人的广告并在浏览器窗口打开内容可疑的Web网页。
Trojan.Zadved
是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息。
Trojan.MulDrop5.10078
在被感染计算机安装各种不良应用程序和广告应用程序。
Trojan.Crossrider1.16093
木马程序,用于向互联网用户显示各种可疑广告。
Doctor Web统计服务器收集的数据结果
Trojan.DownLoader
恶意程序家族,用于在受攻击计算机下载其他恶意应用程序。
Trojan.Siggen6.33552
侦测用于安装其他危险软件的恶意程序。
Trojan.LoadMoney
由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件。
Trojan.Installmonster
使用联盟程序Installmonster创建的恶意程序家族。此类应用程序在受害者计算机安装各种不良软件。
邮箱流量恶意程序统计
BackDoor.Siggen.58526
该木马能够不经用户同意在被感染计算机下载并启动其他恶意程序,并执行不法分子指令。
Trojan.DownLoader
恶意程序家族,用于在受攻击计算机下载其他恶意应用程序。
Trojan.Click
这一家族的恶意程序通过控制浏览器行为,重新定向受害者访问特定网站的请求,虚报各种互联网资源的访问量。
Trojan.Siggen6.33552
用于安装其他危险软件的恶意程序。
僵尸网络
Doctor Web公司技术人员继续监测不法分子使用文件型病毒Win32.Rmnet.12创建的僵尸网络的活动。
Rmnet — 不需用户参与即可进行传播的文件型病毒家族,能够将第三方内容嵌入到用户浏览的Web网站(理论上,网络犯罪分子能够利用这种方式获取受害者银行信息访问权限),窃取cookies文件和最流行的FTP客户端密码,并执行不法分子发出的各种指令。
由感染文件型病毒Win32.Sector的计算机组成的僵尸网络在继续发挥作用。此恶意程序具有以下功能:
- 从P2P网络下载并在被感染机器上运行不同的可执行文件;
- 嵌入到被感染计算机的启动进程;
- 能够阻止某些反病毒程序运行并阻止访问反病毒产品厂商的网站;
- 感染本地磁盘和可移动载体上的文件对象(在感染过程中创建自启动文件autorun.inf)以及保存在共享网络文件夹的文件。
感染木马程序BackDoor.Flashback.39的Apple计算机数量没有发生实质性变化,大约为25000台:
BackDoor.Flashback.39
是一种2012年4月开始大规模传播的Mac OS X木马程序。利用Java漏洞进行感染。木马功用是在被感染电脑下载并启动恶意代码,包括木马接收到的不法分子指令中指定的任一可执行文件。
4月份,不法分子使用木马Linux.BackDoor.Gates.5对各种互联网资源进行的攻击更为活跃。遭受攻击的独有IP地址数量有3320个,与3月份相比增加了48%。值得注意的是,如果不法分子之前的主要目标位于中国境内,则最新数据表明美国替代中国,成为主要目标。此类攻击地域分布情况如下:
木马加密器
技术支持部门接收到的解密申请数量:
| 2015.03 | 2015.04 | 增幅 |
|---|---|---|
| 2361 | 1359 | - 42.4 % |
2015年4月最常见的加密器:
- Trojan.Encoder.761;
- Trojan.Encoder.567;
- Trojan.Encoder.741;
- Trojan.Encoder.888;
- BAT.Encoder.
Dr.Web Security Space 10.0 for Windows
抵御木马加密器
大蜘蛛基础版Dr.Web Anti-virus for Windows授权不包含此功能。
| 预防性保护 | 防止数据丢失 |
|---|---|
 |  |
| 详情 | 参阅设置视频 |
针对Linux的威胁
4月份Doctor Web公司技术人员对能够感染Linux家族操作系统的新木马 —— Linux.BackDoor.Sessox.1进行了研究。不法分子利用IRC (Internet Relay Chat)文本消息的更换协议来管理这一后门木马: 僵尸从病毒编写者服务器上的聊天室获取指令。木马扫描远程服务器是否存在漏洞,以便在未受保护的服务器启动第三方脚本,而脚本则在遭到破坏的系统安装木马副本。
此恶意程序能够向网络犯罪分子指定的Web节点发送重复GET请求,实现定向攻击。
4月其他威胁
月初,Doctor Web公司技术人员记录到不法分子通过多家俄罗斯国防企业员工的个人地址和办公地址进行邮件群发,用来传播危险木马。
命名为BackDoor.Hser.1的恶意程序能够根据指令将被感染个人计算机的运行进程列表发送到远程服务器,下载并启动其他恶意应用程序,并打开指令控制台,将输入输出重新定向到网络犯罪分子服务器,使不法分子能够远程控制被感染计算机。有关详情请参阅相关新闻。
4月份我公司技术人员还对新恶意程序VBS.BackDoor.DuCk.1进行了研究,此恶意程序能够执行不法分子发出的指令,将被感染计算机截屏并发送到远程服务器,还具有扫描受攻击计算机虚拟环境和反病毒应用程序的功能,详情请参阅Doctor Web公司网站相关介绍。
危险网站
2015年4月Dr.Web不建议网站和恶意网站数据库新添129199个互联网地址。
| 2015.03 | 2015.04 | 增幅 |
|---|---|---|
| 74 108 | 129 199 | + 74.3% |
安卓恶意软件和不良软件
4月份不法分子继续攻击安卓移动设备用户,再次出现多起病毒事件。其中最值得注意的与安卓操作系统恶意软件和不良软件相关的病毒事件有:
- 侦测到危险木马Android.Toorch.1.origin,能够获取暗中安装、卸载应用程序所需的root权限;
- 在Google play目录出现带有侵略性广告模块的新程序;
- 银行木马非常活跃。
4月份安卓恶意程序和不良程序的更多详情请参阅移动威胁综述。