Doctor Web:2015年10月病毒活动综述
2015.10.30
从是否出现新的信息安全威胁的角度来看,10月份可称之为相对平静的一个月。然而,在10月份记录到多个常用互联网资源被入侵:不法分子利用这种方式传播伪装成知名厂商反病毒工具的恶意程序。同时,10月份出现了威胁安卓移动平台用户的新木马(包括伪装成大型俄罗斯财务机构银行程序的Android.BankBot.80.origin)以及威胁iOS平台用户的木马,如用于显示广告并暗中下载其他程序的木马IPhoneOS.Trojan.YiSpecter.2。
10月主要趋势
- 不法分子入侵网站来传播恶意软件
- 出现能够进行Web注入的新木马
- 新的安卓恶意程序正在传播
本月威胁
10月中旬,Doctor Web公司技术人员记录到多起常用Web网站被入侵的事件,其中包括一家电视广播公司的热门俄罗斯电视剧网页。在从Google搜索结果跳到不法分子入侵的Web网页时,在满足某些条件的情况下会在浏览器窗口打开新标签,由于不法分子将恶意脚本嵌入到网页,用户无法将这个标签关闭。在潜在受害者点击计算机鼠标或键盘时不断显示安装某个浏览器扩展的建议窗口,网络犯罪分子谎称这一扩展是某反病毒软件厂商发布的工具。
Dr.Web反病毒软件将侦测到的这一恶意插件命名为Trojan.BPLug.1041,用于在用户浏览的Web网页嵌入第三方内容。恶意程序还拦截任意域名的第三方广告,不拦截的只是恶意软件配置文件预设列表中的域。此外,Trojan.BPLug.1041在受害者登录社交网站“Odnoklassniki”时会试图以用户名义赋予一定应用程序访问这一门户网站的API:用户的个人数据可被用于推进组、群发垃圾邮件或进行投票。这一恶意程序更多详情请参阅我公司网站发布的相关介绍。
清除工具Dr.Web CureIt!统计数据结果
Trojan.Siggen6.33552
用于安装其他危险软件的恶意程序。Trojan.Crossrider1.42770
木马家族代表,用于向互联网用户显示各种可疑广告。Trojan.DownLoad3.35967
一种从互联网下载并在受攻击计算机启动其他恶意程序的木马下载器家族代表。Trojan.LoadMoney
由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件。
Doctor Web统计服务器收集的数据结果
Trojan.InstallCube
在用户计算机安装各种不需要的应用程序和不良应用程序的下载器程序家族。Trojan.Siggen6.33552
用于安装其他危险软件的恶意程序。Trojan.DownLoad3.35967
一种从互联网下载并在受攻击计算机启动其他恶意程序的木马下载器家族代表。Trojan.LoadMoney
由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件。
邮箱流量恶意程序统计
Trojan.Encoder.567
一种加密受害者计算机磁盘中的文件并要求支付解密的勒索木马家族代表。这一木马能够加密包括下列类型的重要用户文件:.jpg、.jpeg、.doc、.docx、.xls、xlsx、.dbf、.1cd、.psd、.dwg、.xml、.zip、.rar、.db3、.pdf、.rtf、.7z、.kwm、.arj、.xlsm、.key、.cer、.accdb、.odt、.ppt、.mdb、.dt、.gsf、.ppsx、.pptx。Trojan.PWS.Stealer
用于在被感染计算机窃取密码和其他珍贵的机密信息的木马家族。.Trojan.DownLoader15.52331
一种从互联网下载并在受攻击计算机启动其他恶意程序的木马下载器家族代表。
僵尸网络
Doctor Web公司技术人员继续监测网络犯罪分子使用文件型病毒Win32.Rmnet.12创建的僵尸网络的活动。这些僵尸网络在2015年10月份的活动情况见下图:
Rmnet— 不需用户参与即可进行传播的文件型病毒家族,能够将第三方内容嵌入到用户浏览的Web网站(理论上,网络犯罪分子能够利用这种方式获取受害者银行信息访问权限),窃取cookies文件和最流行的FTP客户端密码,并执行不法分子发出的各种指令。
同以往一样,由感染文件型病毒Win32.Sector的计算机组成的僵尸网络仍继续活动,该网络日均活动见下图:
此恶意程序具有以下功能:
- 从P2P网络下载并在被感染机器上运行不同的可执行文件;
- 嵌入到被感染计算机的启动进程;
- 能够阻止某些反病毒程序运行并阻止访问反病毒产品厂商的网站;
- 感染本地磁盘和可移动载体上的文件对象(在感染过程中创建自启动文件autorun.inf)以及保存在共享网络文件夹的文件。
2015年10月,不法分子使用Linux木马 Linux.BackDoor.Gates.5进行的大量DDoS攻击活跃度有所下降。遭受攻击的节点数量有5051个,与上个月相比降低了33.29%。网络犯罪分子的首要目标仍是中国,法国为第二位,而美国则降至第三位:
木马加密器
Doctor Web技术支持部门接收到的解密申请数量:
| 2015.09 | 2015.10 | 增幅 |
|---|---|---|
| 1 310 | 1 471 | +12,29% |
Dr.Web Security Space 11.0 for Windows
抵御木马加密器
大蜘蛛基础版Dr.Web Anti-virus for Windows授权不包含此功能。
| 防止数据丢失 | |
|---|---|
 |  |
危险网站
2015年10月Dr.Web不推荐网站和恶意网站数据库新添264 970个互联网地址。
| 2015.09 | 2015.10 | 增幅 |
|---|---|---|
| +399 227 | +264 970 | -33,6% |
在Doctor Web公司分析人员添加到不推荐访问的互联网资源列表的网站中有一部分是互联网商店,其出售的商品足以让人生疑,甚至是摸不着头脑。我公司之前发布的新闻中已经介绍了其中一些网站,但网络商家添加类似商品的速度还是令我们的分析人员感到吃惊。有关辟邪手链、丰唇器及其他“神奇”互联网商品的详情请参阅我公司网站发布的相关介绍。
移动设备恶意软件和不良软件
10月份移动设备用户再度成为网络犯罪分子的目标。月初侦测到感染Apple智能手机和平板电脑的一种新木马,不论是越狱系统还是“纯净”版本设备的用户都有可能成为这一威胁的受害者。此外,安卓应用程序官方目录Google Play中出现可绕过Google保护的新恶意程序。Doctor Web公司技术人员在月中记录到一起移动设备安卓固件被木马入侵的新事件,随后又侦测到一种新的窃取用户钱财的银行木马。
10月份最值得注意的移动安全事件有:
- 出现感染iOS移动设备的新木马;
- 在安卓程序目录Google Play中侦测到新恶意程序;
- 出现恶意程序感染安卓固件的新事件;
- 不法分子传播新的安卓银行木马。
10月份移动病毒情况的更多详情请参阅移动威胁综述。