Doctor Web:2015年病毒活动综述
2015.12.29
2015年针对Linux操作系统的危险木马加密器广泛传播,不论是普通用户,还是信息安全技术人员,都对此印象深刻:在全球范围内被这一木马感染的Web网站达3000多个。同时,2015年值得注意的事件还有出现大量针对最常用操作系统Microsoft Windows的新恶意程序,其中包括新的木马加密器、后门木马、间谍程序和加密电子货币的挖矿程序。而针对Apple OS X平台的木马也显著增多,其中主要是用于未经授权显示广告的应用程序和各种不良程序安装器。这一现象表明,病毒编写者对OS X越来越感兴趣。Dr.Web安卓反病毒产品数据库中添加了许多新记录:已发现的针对这一操作系统的威胁数量仅次于Windows。2015年许多网络诈骗分子继续进行活动,同以往一样,欺骗互联网用户的新方法层出不穷。另外,2015年僵尸网络仍然继续活动,其中不法分子利用文件型病毒Win32.Rmnet.12和 Win32.Sector创建的网络最为活跃。
2015年主要趋势
- 危险的Linux木马加密器正在传播
- OS X恶意程序增多
- 出现新的安卓木马
- 新的Windows恶意程序正在传播
2015年最重要的事件
Doctor Web公司技术人员在2015年春季侦测到木马BackDoor.Hser.1,不法分子通过该木马对俄罗斯国防机构进行定向攻击。这一恶意程序利用网络犯罪分子发送到十多个国企的员工个人邮箱或办公邮箱的e-mail通知进行传播。这些企业包括俄罗斯知名垄断企业,具有国防意义或为军工部门服务。
恶意通知带有Microsoft Excel表格编辑器文件形式的附件,其中包括这一程序的攻击代码。木马能够利用这一攻击代码入侵到受攻击计算机,根据指令将被感染个人计算机的运行进程列表发送到远程服务器,下载并启动其他恶意应用程序,并打开指令控制台,将输入输出重新定向到网络犯罪分子服务器,使不法分子能够远程控制被感染计算机。BackDoor.Hser.1有关详情请参阅相关新闻。
2015年6月,全俄社会舆论研究中心官网被非法入侵:不法分子在全俄社会舆论研究中心的服务器上放置多个Web网页,建议访问者从中下载伪装成各种有用文件的恶意程序。这一事件详情请参阅Doctor Web公司网站发布的。
不法分子在全俄社会舆论研究中心网站放置的所有压缩文件都包括Trojan.DownLoader家族的恶意程序,其功用为在受攻击电脑上暗中下载并安装各种危险应用程序。不法分子利用该下载器传播用于获取加密电子货币的挖矿程序以及其他不良软件。由于全俄社会舆论研究中心网站是常用互联网资源,所以根据Doctor Web公司技术人员统计的信息显示,已有数万名用户成为受害者。
Doctor Web公司病毒分析人员在8月份侦测到一种利用受害者的计算机资源获取加密电子货币的危险木马,该木马被命名为Trojan.BtcMine.737,特点是能够在没有用户参与的情况下在网络中自行转移,感染所连接的计算机,具有网络蠕虫功能。
Doctor Web公司技术人员在秋季侦测到能够感染POS终端的恶意程序Trojan.MWZLesson正在传播。除了具有间谍功能和恶意功能,这一木马还能够保存银行卡磁道并将其传送到不法分子的控制服务器上。研究表明,该木马是恶意程序BackDoor.Neutrino.50的变种。BackDoor.Neutrino.50不仅具有POS终端木马功能,还能够根据FTP协议,利用一系列常用的FTP客户端窃取Microsoft邮箱客户端的信息以及可访问资源的统计数据,组织多种DDos攻击,感染局域网中的计算机。
2015年9月,病毒编写者利用以Doctor Web公司名义发送的邮件链接传播危险木马Trojan.PWS.Stealer.13052。
网络犯罪分子邀请用户参加Dr.Web CureIt 2工具(实际并不存在)测试,将木马伪装成这一工具下载到用户的计算机上。Doctor Web公司及时提醒用户注意这一事件,此病毒事件详情请参阅我公司发布的新闻。
但利用Dr.Web反病毒产品开发商的名义从事非法活动的网络犯罪分子并不局限于此,他们很快就开始假借另一家反病毒厂商的名义传播另外的恶意程序。
这一木马程序被命名为Trojan.BPLug.1041,详情请参阅发布在Doctor Web公司网站的介绍。
木马加密器Linux.Encoder.1的传播也是2015年最重要的一个事件。该木马共感染了OS Linux服务器上的3000多个Web网站。然而它却并非首个令人印象深刻的Linux加密器:2014年8月Doctor Web公司就已侦测到木马Trojan.Encoder.737,能够加密保存在Synology公司网络数据库中的文件,但目前,Linux.Encoder.1传播范围更为广泛。
病毒概况
根据清除工具Dr.Web CureIt!收集到的统计数据显示,2015年在计算机上侦测到的最常见的恶意程序是 Trojan.Siggen6.33552,其功用为在受攻击系统安装其他危险软件。Trojan.DownLoad3.35967根据侦测数量位居第二,该程序为木马下载器,能够暗中在计算机下载并安装各种不良应用程序。位居第三位的是另一种木马下载器——Trojan.LoadMoney.681。2015年由清除工具Dr.Web CureIt!侦测到的数量最多的十个恶意程序如下:
Trojan.Crossrider1.42770
木马家族代表,用于显示各种可疑广告。Trojan.Click
这一家族的恶意程序通过控制浏览器行为,重新定向受害者访问特定网站的请求,虚报各种互联网资源的访问量。Trojan.Yontoo
针对常用浏览器的恶意插件家族,功用是在用户浏览Web网页时显示广告。Trojan.DownLoader
木马家族,用于在受攻击计算机下载其他恶意应用程序。Trojan.MulDrop5.10078
在被感染计算机解压并启动其他恶意程序的点滴木马家族代表。Trojan.Lyrics
木马家族,能够不经用户同意在屏幕上显示烦人的广告并在浏览器窗口打开内容可疑的Web网页。
上述统计数据表明,2015年清除工具Dr.Web CureIt!侦测到的大多数恶意程序为广告木马、不良软件安装器和木马下载器。
根据2015年Dr.Web统计服务器收集的数据生成的图表大致相同:位居首位的仍是不良程序安装器 Trojan.Siggen6.33552,第二位是信息安全技术人员早在2011年就已熟知的木马BackDoor.IRC.NgrBot.42。此家族恶意程序能够在被感染计算机执行接收到的不法分子的指令,网络犯罪分子利用文本消息更换协议IRC(Internet Relay Chat)对其进行控制。Trojan.DownLoader家族木马下载器在被侦测数量上处于绝对的领先地位。根据Dr.Web统计服务器收集的数据显示,2015年最常见的的十个恶意程序如下:
Trojan.LoadMoney
由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件。Trojan.Ormes.69
在用户浏览Web网页时显示烦人广告的木马。Trojan.InstallCore.16
广告和可疑应用程序的木马安装器,也被命名为Trojan.Packed.24524。Win32.HLLW.Shadow
能够利用Microsoft Windows操作系统漏洞进行传播的网络蠕虫。这一恶意程序还被命名为 Conficker和Kido。
这一统计数据表明,病毒编写者仍旧使用最常见的不良程序安装器和广告木马,因为这些木马能够使不法分子获取最大利润。这一趋势与2014年相同。
2015年,网络犯罪分子利用邮件消息传播的恶意附件中居于首位的是危险木马加密器Trojan.Encoder.567。这一木马加密器能够加密计算机上的文件并要求受害者支付解密。Trojan.Encoder.567能够加密包括下列类型的重要文件:.jpg、.jpeg、.doc、.docx、.xls、xlsx、.dbf、.1cd、.psd、.dwg、.xml、.zip、.rar、.db3、.pdf、.rtf、.7z、.kwm、.arj、.xlsm、.key、.cer、.accdb、.odt、.ppt、.mdb、.dt、.gsf、.ppsx、.pptx。
2015年位于第二位的常见邮箱链接为BackDoor.Siggen.58526。这一木马能够在用户不知情的情况下在被感染计算机上下载并启动其他恶意程序,执行不法分子发送的指令。位于第三位的是木马下载器 BackDoor.Andromeda.404,用于从不法分子远程服务器下载并在被感染计算机上启动其他恶意程序。2015年Dr.Web反病毒软件在邮箱流量侦测到的数量最多的十个恶意应用程序如下:
除了上述木马,2015年在电子邮件附件中还侦测到下列恶意程序:
Trojan.PWS.Stealer
用于在被感染计算机窃取密码和其他机密信息的木马家族。Trojan.Oficla
主要通过电子邮箱传播的木马家族。在感染计算机时,该木马家族会隐藏自身恶意活动。接下来Trojan.Oficla会将计算机接入到僵尸网络,使不法分子能够向其中下载其他恶意软件。系统感染后,不法分子能够控制受害者的计算机,能够在计算机中下载、安装并使用任意恶意软件。BackDoor.Bebloh.96
属于银行木马范畴的恶意程序家族的一个代表。此应用程序给远程银行服务系统的用户造成威胁,使不法分子通过截取浏览器中填写的表单并嵌入到一些银行的网站页面来盗取机密信息。Trojan.Packed.24524
广告和可疑应用程序的木马安装器,也被命名为Trojan.InstallCore.16。
从以上数据可以看出,利用垃圾邮件传播恶意程序的网络犯罪分子除了使用原有的木马下载器,还将注意力转移到木马加密器和后门木马,这些木马能够窃取被感染计算机密码等机密信息。
僵尸网络
Doctor Web公司病毒分析人员全年仔细监测多个由不法分子使用各种恶意程序创建的僵尸网络的活动。由感染文件型病毒Win32.Rmnet.12的计算机组成的僵尸网络的活跃性在2015年逐渐下降。这一危险病毒包括多个模块,能够将第三方内容嵌入到受害者浏览的Web网站,将用户重新定向到不法分子指定的网站,并将被感染计算机上输入的内容传至远程节点。Win32.Rmnet.12 还能够窃取常用FTP客户端密码,执行各种指令,并进行自我复制,感染可执行文件。病毒能够利用VBScript语言编写的、嵌入到Web网页的脚本进行传播。两个Win32.Rmnet.12子僵尸网络2015年的活动如下图:
另外一个网络犯罪分子用来大量创建僵尸网络的文件型病毒被命名为Win32.Sector,在2008年被病毒分析人员首次侦测。该病毒功用在于从P2P网络下载并在被感染机器上运行不同的可执行文件。病毒能够嵌入到被感染计算机的启动进程,感染本地磁盘和可移动载体上的文件以及保存在共享网络文件夹的文件,自行进行传播。2015年上半年这一僵尸网络的活跃性小幅增长,但入秋后又呈逐渐下降趋势:
2015年,Doctor Web公司技术人员继续监测Linux木马 Linux.BackDoor.Gates.5的活动,这一木马用于对各种互联网资源组织DDoS攻击。2015年,不法分子共组织了31880起DDoS攻击,被攻击的互联网资源大部分(超过61%)位于中国境内。受攻击服务器数量上位居第二位的是美国,第三位是加拿大。2015年,网络犯罪分子使用木马Linux.BackDoor.Gates.5进行DDoS攻击的目标地理分布见下图:
每个月网络犯罪分子进行的攻击数量都摇摆不定,在12月份则完全消失。从2015年1月到2015年11月,利用木马 Linux.BackDoor.Gates.5进行的DDoS攻击强度地理分布(根据受攻击节点独有IP地址数量)如下:
木马加密器
同2014年一样,2015年木马加密器仍对用户构成严重威胁,理应被看做现有威胁中最危险的恶意程序家族。如图显示,如果一年前,每个月由于木马加密器而向Doctor Web公司技术支持部门寻求帮助的用户平均约有1000名,到2015年末这一数量则几乎增加了两倍:
2015年最常见的加密器:
- Trojan.Encoder.567
- Trojan.Encoder.858
- BAT.Encoder
- Trojan.Encoder.741
- Trojan.Encoder.761
- Trojan.Encoder.556
- Trojan.Encoder.398
- Trojan.Encoder.2843
- Trojan.Encoder.888
- Trojan.Encoder.263
请遵从下列建议,避免损失重要文件:
- 确认Dr.Web Security Space(9.0、10.0和11.0版本)设置中启用“预防性保护”,使计算机免受Dr.Web病毒库未知的威胁。
- 随后在“工具”部分启用“防止数据丢失”,并设置重要文件备份数据库参数。
- 对重要数据进行备份,并选择适当的时间间隔,设置自动保存。
谨慎操作可使您保护操作系统免受目前的大部分威胁,包括木马加密器的威胁。
Linux恶意程序
最为轰动的Linux信息安全事件是2015年11月被命名为Linux.Encoder.1的Linux木马加密器的传播。该木马利用常见内容控制系统(Content Management Systems, CMS)中的一系列漏洞入侵到运行的Linux Web服务器,截止11月24日,被感染的Web网站已超过3000个。
不法分子利用一个尚未被安全技术人员确定的漏洞将专门shell脚本放置到被入侵的网站,使其远程执行各种指令,将点滴木马 Linux.Encoder.1下载到被入侵服务器,确定操作系统架构(32或64位版本的Linux),从点滴木马中提取并启动木马加密器相应版本,随后删除点滴木马。值得注意的是,木马加密器可在系统中利用Web服务器权限运行,也就是说,无需超级用户权限(root)即可运行木马加密器。这一恶意程序详情请参阅相关介绍。
这一事件之后,Doctor Web公司病毒分析人员很快就发现该木马加密器之前的多个变种,其中一个变种被命名为Linux.Encoder.2。这一木马加密器的运行特点和与其他常见版本的区别请参阅我公司发布的相关介绍。
2015年春季Doctor Web公司技术人员还侦测到针对OS Linux Web服务器的攻击:4月份被侦测到的木马 Linux.BackDoor.Sessox.1根据IRC (Internet Relay Chat)协议接收不法分子的指令,通过向不法分子发送重复GET请求攻击指定的互联网Web节点。 Linux.BackDoor.Sessox.1还能够按照指令扫描受攻击服务器是否存在ShellShock漏洞,利用这一漏洞可远程执行系统任意代码。该恶意程序更多详情请参阅Doctor Web公司发布的新闻。
2015年,Doctor Web公司病毒分析人员侦测到多个Linux后门木马。其中一个后门木马Linux.BackDoor.Xnote.1的详情请参阅我公司2月份发布的新闻。与同类恶意程序相比,该木马传播方式非常普通:不法分子选配密码,根据SSH协议入侵受攻击系统的账户并在其中安装Linux.BackDoor.Xnote.1。该木马具有后门木马标准功能:执行网络犯罪分子的指令。此外,Linux.BackDoor.Xnote.1还能启动指定环境变量的指令外壳(shell)并向控制服务器提供其访问权限,在被感染计算机上启动SOCKS proxy或自行建立服务器portmap。
2015年7月Doctor Web公司技术人员侦测到另外一个Linux后门木马,将其命名为Linux.BackDoor.Dklkt.1。该木马基本功用为进行多种DDoS攻击。Doctor Web公司病毒分析人员在8月份侦测到大量能够感染Linux路由器的恶意程序。一共有1439起利用此类工具感染设备的事件被发现,其中649起事件在被感染设备的地理区域有所显示。大多数设备位于日本境内,少量位于德国、美国和中国台湾:
9月份Doctor Web公司发布的新闻中提到了木马Linux.Ellipsis.1的传播,其特别之处在于行动的“偏执”。不法分子使用这一木马在受攻击机器上创建代理服务器,代理服务器可用来匿名访问被恶意程序Linux.Ellipsis.2入侵的设备。这一恶意程序由于其特征成为病毒编写者利用简单方式列举密码(brute force)的代表之作。
总之,不法分子对Linux操作系统的兴趣逐渐提高,将来可能会出现大量新的Linux木马。
针对Apple OS X的恶意程序
同以往一样,不法分子对OS X操作系统的Apple计算机仍具有兴趣。2015年侦测到的绝大多数OS X恶意程序都是广告木马和不良程序安装器。年初侦测到的已知木马Mac.BackDoor.OpinionSpy(早在2010年就已被信息安全人员发现)新版本是少数例外。
尽管被开发者定位为市场研究工具,Mac.BackDoor.OpinionSpy也确实是一种间谍木马:该程序跟踪用户活动,将访问的网站、打开的标签和链接的信息发送到控制服务器。此外,这一木马还会监测通过Apple计算机网卡的流量,包括用于交换瞬时信息(Microsoft Messenger, Yahoo! Messenger, AIM, iChat)的客户端流量。该后门木马详情请参阅Doctor Web公司发布的新闻。
最常见的OS X不良程序安装器还包括Doctor Web公司技术人员于2015年5月侦测到的木马 Adware.Mac.InstallCore.1。这一木马会在受攻击Mac下载并安装针对Safari、Firefox和Chrome浏览器的恶意插件(如Trojan.Crossrider家族木马)。另一个被命名为 Adware.Mac.WeDownload.1的安装器详情请参阅Doctor Web公司在9月份发表的新闻。这一木马下载器利用联盟程序资源进行传播,通过下载文件获利。2015年12月病毒分析人员所研究的木马Adware.Mac.Tuguu.1与其类似。
根据此类应用程序在外界显示的规律,明年可能还会出现此类恶意程序的新样本。
危险网站和不推荐网站
互联网中包括大量未成年人不宜访问并可能损害计算机的网站。Dr.Web反病毒产品组件 SpIDer Gate和父母控制可抵御这些网站,其数据库每天都会添加新的恶意网站和不推荐网站链接。2015年这一添加进程的情况见下图:
网络诈骗
希望由于互联网用户轻信他人或没有经验而获利的网络诈骗分子并没有停止活动。2015年,Doctor Web公司侦测到利用伪装成汽车沙龙Web网页的网站进行的诈骗事件增多。网络诈骗分子群发大量短信(短信通知潜在受害者在某个广告促销活动赢得了一辆汽车)来吸引访问者。
此外,网站还包括关于“活动”条件的网页,“赢得”汽车的参与者需要根据这些条件在短时间内(一般为几个小时)通过付款终端交付“奖品”价值1%的“税”或通过类似方法付款办理保险单。骗子从中获利:受害者使用类似方法付款后,将再也见不到自己的钱和珍贵的奖品。
出售各种可疑商品的大量互联网商店仍旧很兴旺,相关详情请参阅Doctor Web公司2015年发布的新闻。毋庸置疑,在新的一年中还会出现此类可疑的商店。
针对移动设备的威胁
2015年不法分子对移动设备用户的兴趣有所提高。正如预测的一样,2015年安卓智能手机和平板电脑用户再度成为网络犯罪分子一个主要攻击目标。Doctor Web公司病毒分析人员在2015年对大量新的安卓恶意程序、不良程序和风险程序进行了分析,使Dr.Web病毒库中添加了11929个新记录,规模增加了210%。
同以往一样,攻击安卓设备的主要恶意程序为各种短信木马。根据Dr.Web病毒库数据显示,最大短信木马家族Android.SmsSend在2015年共有7103条记录,增加了164,2%。Android.SmsBot家族木马记录数量也有所增长(+192,8%)。总之可以确定,向付费号码发送短信并为用户订阅高价服务的恶意程序仍是安卓用户的一个主要威胁。
2015年,各种银行木马再度对安卓用户的财物造成威胁。这些恶意程序能够窃取网上银行的用户名和密码,还能够暗中将钱财转移到网络犯罪分子的账户上。Doctor Web公司技术人员在2015年侦测到大量银行木马,其中包括已广为人知的Android.Banker和Android.BankBot木马家族,以及Android.ZBot银行木马等新恶意程序。
值得注意的是,不法分子利用安卓银行木马在全球范围内进行攻击。2015年,此类木马在俄罗斯和韩国被广泛使用。比如,窃取俄罗斯用户钱财的危险恶意程序Android.BankBot.65.origin被网络犯罪分子嵌入到访问网上银行的应用程序中,并在常用的移动应用程序Web网站上伪装成相应软件更新进行传播。Android.BankBot.65.origin详情请参阅相关介绍。
病毒编写者还是会在大多数情况下将银行木马作为独立的恶意程序进行传播,也会利用包含银行木马下载链接的短信群发进行传播。2015年,俄罗斯用户最常见的此类短信是关于接收到的MMS的“通知”,而在韩国则会建议用户参观婚礼、跟踪邮件发送或者阅读某刑事案件的材料。
2015年继续出现新的勒索木马。这些恶意程序在2014年年中已为人所知,并从此成为针对安卓用户最严重的一个威胁。大多数勒索木马会锁定被感染移动手机或平板电脑,要求受害者支付解锁。此外,此类勒索木马还具有更为危险的变种。如,在2015年2月被侦测到的Android.Locker.71.origin木马新版本会加密所有可用文件,并要求受害用户支付200美元的赎金。
Android.Locker家族勒索木马在Dr.Web病毒库的记录数量:
| 2014 | 2015 | 增幅 |
|---|---|---|
| 137 | 965 | +604,4% |
2015年还出现了大量不法分子用来在安卓固件中传播,甚至直接预先安装到移动设备的木马。其中一个恶意程序在2015年1月被侦测,命名为Android.CaPson.1。该木马能够暗中发送并拦截短信,打开互联网网页,将被感染移动设备的信息传送到远程服务器,并下载其他应用程序。Doctor Web公司技术人员在9月份侦测到预先安装到常用平板电脑的木马 Android.Backdoor.114.origin,这一恶意程序能够按照网络犯罪分子的指令暗中下载、安装并卸载程序。2015年10月在多个安卓移动设备中侦测到预置的木马Android.Cooee.1。该恶意程序位于固件程序(安卓图形壳),能够显示广告,暗中下载补充广告模块和其他应用程序(包括恶意软件)并启动执行。
2015年另一个危险趋势就是试图获取安卓设备root权限的恶意程序有所增多。比如Doctor Web公司技术人员在4月份侦测到的Android.Toorch家族木马,病毒编写者通过中国常用的软件下载网站,利用嵌入在各种应用程序的侵略性广告模块传播这种家族木马。如果该木马获取了root权限,则会按照不法分子的指令在用户不知情的情况下下载、安装并卸载各种软件。随后侦测到的木马Android.Backdoor.176.origin及其变种 Android.Backdoor.196.origin都试图利用Root Master工具经修改的版本获取被感染智能手机和平板电脑的root权限。其基本功用在于根据病毒编写者指令暗中安装并卸载应用程序。除了这些恶意程序,2015年还出现了其他类似木马,如通过Google Play目录传播的Android.Backdoor.273.origin和潜在受害者从常用软件下载网站下载的 Android.DownLoader.244.origin。这两种木马也用于暗中下载并安装其他恶意程序。 由此可见,2015年主要用于下载并暗中安装各种程序的木马显著增多。
2015年不得不提到入侵到Google Play目录的恶意程序。在Google Play侦测到的木马Android.Spy.134和Android.Spy.135能够在被感染设备屏幕上显示伪造的Facebook客户端身份验证窗口,向智能手机和平板电脑用户询问账号用户名和密码,将输入的信息传送到远程服务器。此类木马共被下载了500 000逾次。
Doctor Web公司病毒分析人员还在Google Play目录侦测到木马 Android.DownLoader.171.origin,该木马已被100 000多名用户下载。不法分子通过常用软件下载网站传播这一恶意程序,使该木马的下载总量超过1 500 000。Android.DownLoader.171.origin基本功用为下载并安装各种应用程序。该恶意程序详情请参阅相关介绍。
2015年9月,技术人员在Google Play目录中侦测到自动为用户订阅付费服务的木马Android.MKcap.1.origin。随后,在9月份还侦测到另外一种危险木马——用于下载并安装其他恶意软件,并显示广告的Android.MulDrop.67。
2015年10月,在Google Play侦测到隐藏在伪装成无害的视频播放器中的木马 Android.PWS.3。该木马向用户询问常用社交网站的账号用户名和密码,随后将这些信息暗中上传到不法分子的远程服务器。
2015年,使安卓智能手机和平板电脑用户感到不安的还有各种被不法分子内置到各种程序中的侵略性广告模块的活动。2015年病毒库中的相关记录达到290个,与2014年相比增加了166%。
2015年1月在Google Play目录中侦测到包含广告插件Adware.HideIcon.1.origin的应用程序。这一不良模块能够在移动设备的通知栏显示更新通知,仿造重要“文件”的加载过程,使智能手机或平板电脑的持有者在打开这些文件时被重新定向到各种Web网站。Adware.HideIcon.1.origin启动这样或那样的程序时,能够全屏显示各种广告。
2015年2月侦测到不良广告模块Adware.MobiDash.1.origin,这一模块嵌入到通过Google Play目录传播的程序中,总下载量可达数百万次。随后被侦测到的侵略性广告模块Adware.HiddenAds.1被恶意程序安装到移动设备中,在用户不知情的情况下运行并在通知栏显示各种广告。被添加到病毒库中并被命名为Adware.Adstoken.1.origin的不良模块在各种软件中传播并在屏幕上显示广告横幅,在通知栏显示消息,还能够在Web浏览器中打开广告网页。年末,Doctor Web公司病毒分析人员侦测到广告软件Adware.AnonyPlayer.1.origin。该不良模块能够在大部分已启动应用程序上方显示广告。
有关Apple移动设备不会受到恶意程序攻击的常见误区逐渐被澄清:针对iOS智能手机和平板电脑的木马等危险程序正在逐年增多。2014年Dr.Web病毒库中包括94个iOS恶意程序记录,2015年则包括167个记录,与2014年相比增加了77%。
恶意程序IPhoneOS.BackDoor.KeyRaider是2015年侦测到的一个iOS木马,在不法分子修改的程序和被感染的“越狱”设备中传播。IPhoneOS.BackDoor.KeyRaider从被感染智能手机和平板电脑上窃取各种机密信息并将其上传到网络犯罪分子的服务器上。9月份在iOS应用程序官方商店App Store侦测到危险木马IPhoneOS.Trojan.XcodeGhost,其主要任务就是显示虚假对话窗口以进行网络钓鱼攻击和打开不法分子指定的链接。2015年11月Doctor Web公司技术人员侦测到木马 IPhoneOS.Trojan.XcodeGhost的一个变种,将其命名为 IPhoneOS.Trojan.XcodeGhost.8,二者功能相同。2015年10月技术人员侦测到木马IPhoneOS.Trojan.YiSpecter.2,该木马可在用户访问各种Web网站时安装到越狱的智能手机和平板电脑中,也可安装到系统版本未经修改的设备中,能够安装补充恶意模块,显示各种广告,根据网络犯罪分子指令卸载程序并将其更换为伪造的软件。
年末被侦测到的木马IPhoneOS.Trojan.TinyV在病毒编写者修改的应用程序中传播,感染“越狱”的iOS设备。IPhoneOS.Trojan.TinyV可根据从控制服务器接收到的指令,暗中下载并安装各种软件,修改hosts文件,使不法分子将用户重新定向到不良Web网站。2015年侦测到的iOS危险程序还包括感染“越狱”设备的广告应用程序Adware.Muda.1。这一程序能够在用户应用程序上方和通知栏中显示广告,并不经用户同意下载各种软件。
安全威胁发展趋势
对目前最复杂的信息安全形势进行分析,可推测出,2016年Linux和OS X恶意程序会同以往一样持续增多。其功能可能会得到扩展:Apple计算机用户除了会遇到广告木马和不良软件安装器,还会遇到首批针对OS X的木马加密器。
将会出现针对安卓移动平台的新恶意程序,其中大部分为银行木马。使用iOS操作系统Apple便携设备的用户也不应有所松懈,2015年针对这些用户出现了多个木马程序,我们有理由认为,今后这一趋势将会持续。
一定会出现由不法分子利用OS Windows恶意程序和针对其他系统平台的恶意程序创建的新僵尸网络。此外,不应排除会出现网络诈骗(包括利用移动设备进行的诈骗)以及网络犯罪分子窃取用户个人信息和各种机密信息的新方式。
可以确定的是,在2016年,Doctor Web公司会向以往一样,继续密切监测信息安全发展趋势,一旦出现新威胁,将及时通知用户。