Doctor Web:2016年4月病毒活动综述

病毒报告 | Doctor Web公司新闻 | 病毒新闻

2016.04.29

2016月初,Doctor Web公司的病毒分析师侦测到了能够创建一级僵尸网络的银行木马Gozi的变种。稍后出现了利用黑客工具传播的Linux后门。同时,创建虚假网络商店来欺骗买家的网络诈骗在四月份愈演愈烈,很多互联网用户已受害。

四月主要趋势

  • 出现了银行木马Gozi的新变种
  • Linux系统恶意软件传播
  • 网络欺诈活动增多

本月威胁

用于从受害者账户中窃取钱财的新银行木马并不常出现:病毒编写者经常只是修改现有的已“行之有效”的恶意软件。新版本的木马Trojan.Gozi的就属于变种,具有非常广泛的功能:它能够窃取用户在各种屏幕上输入的数据,捕捉键盘按键(键盘记录程序),能够将网页中的无关内容植入被感染的计算机上(即执行网络注入)。除此之外,犯罪分子能够使用Virtual Network Computing (VNC)技术利用Trojan.Gozi远程访问被感染电脑的桌面。该木马可以根据不法分子命令在受感染的PC上启动SOCKS代理服务器,并下载和安装各种插件。

screen #drweb

然而新版本与之前版本的主要不同是能够建立一级僵尸网络,即通过建立P2P网络与其他被感染电脑进行数据交换。该恶意软件的更多详细信息,请参阅我公司网站发布的介绍

清除工具Dr.Web CureIt!统计数据结果

screen #drweb

  • Trojan.InstallCore.1903

    一种不良应用程序和恶意应用程序安装器家族代表。

  • Trojan.StartPage

    能够在浏览器设置中修改起始页面的恶意软件家族。

  • Trojan.Zadved

    是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息。

  • Trojan.DownLoader

    恶意程序家族,用于在受攻击计算机下载其他恶意应用程序。

Doctor Web统计服务器收集的数据结果

screen #drweb

  • Trojan.InstallCore.1903

    一种不良应用程序和恶意应用程序安装器家族代表。

  • BackDoor.IRC.NgrBot.42

    2011年被信息安全技术人员首次侦测的一种非常常见的木马。此家族的恶意程序能够在被感染计算机执行接收到的不法分子指令,网络犯罪分子利用文本消息更换协议IRC(Internet Relay Chat)对其进行控制。

  • JS.Redirector

    一种用JavaScript语言写的恶意脚本,将用户浏览器重定向至不同的网页(包括恶意网页和诈骗网页)。

  • JS.Downloader

    一种用JavaScript语言写的恶意脚本,用于在电脑上下载和安装其他恶意软件。

  • Trojan.Zadved

    是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息。

邮箱流量恶意程序统计

screen #drweb

  • JS.Downloader

    一种用JavaScript语言写的恶意脚本,用于在电脑上下载和安装其他恶意软件。

  • Trojan.InstallCore.1903

    一种不良应用程序和恶意应用程序安装器家族代表。

  • Trojan.PWS.Stealer

    用于在被感染计算机窃取密码和其他机密信息的木马家族。

木马加密器

screen #drweb

2016年4月最常见的加密器是Trojan.Encoder.858

Dr.Web Security Space 11.0 for Windows
抵御木马加密器

大蜘蛛基础版Dr.Web Anti-virus for Windows授权不包含此功能。

防止数据丢失
防止数据丢失防止数据丢失

详情

危险网站

2016年4月Dr.Web不推荐网站和恶意网站数据库新添749173个互联网地址。

2016年3月2016年4月增幅
+ 458 013+ 749 173+63,6%

今年四月份创建虚假网络商店来欺骗不知情网民的网络诈骗活动急剧增加。这些网站几乎具备真正网络商店页面上的所有元素,是利用同一个或者类似的模板制作的。

screen #drweb

更多了解网络骗子如何欺骗买家以及免受这类欺诈,请参阅我们发布的文章

其他事件

不法分子使用各种方法来侵入不同的商业企业网络。服务器应用或其他软件方式的非法设置有时会成为黑客可以利用的严重安全漏洞。2016年4月,Doctor Web公司的专家侦测到国外一家提供DNS托管服务的公司设备配置中的错误。结果是等于该公司的客户向全球开放了他们注册的子域列表,其中包括用于内网的子域。这些域可以用于建立非公开的内部网络服务器、版本控制系统、错误跟踪器、不同的监控服务、维基资源等等。利用地址列表,不法分子可以更容易地了解潜在受害者的网络,寻找薄弱或未受保护的地方。有关此事件的详细调查见我公司网站发布的新闻

4月份还记录到Linux系统后门木马的传播,被命名为Linux.BackDoor.Xudp.1。这一恶意软件的显著特点是,利用黑客工具入侵到受害者电脑,这种黑客工具本身的恶意功能向指定地址群发出UDP包对远程节点进行攻击。换句话说,攻击某个网络节点的Linux用户也成为了木马攻击的受害者。

Linux.BackDoor.Xudp.1能够执行的命令当中,研究人员发现了向指定远程节点不间断发送不同请求的指令、实行DDoS攻击的指令、在受感染的设备上执行任意的指令等第。Linux.BackDoor.Xudp.1还能够根据指令扫描指定IP地址范围内的端口,可以运行不法分子指定的文件,向不法分子发送文件,或执行其他任务。关于该后门程序运行的其他特点可参阅相关的信息

四月底记录到对社交网站Facebook用户发动的攻击,使用的恶意软件是Trojan.BPlug.1074,为Google Chrome浏览器插件,在该社交网站发送垃圾邮件。同时不法分子利用这一恶意软件传播其他用于Chrome的危险插件。根据我公司病毒分析师掌握的信息,4月29日,已有12 000名Facebook用户加载了Trojan.BPlug.1074。相关信息请参阅我公司网站发布的信息

移动恶意软件和不良软件

根据使用Dr.Web for Android反病毒产品收集到的数据,四月份监测到恶意广告平台活动增多,也是上个月侦测到最多的恶意和不良软件。通常情况下,这些软件模块不仅能够显示讨厌的广告,还能够盗取机密信息,以及下载和安装各种各样的软件,给病毒编写者带来不错的利润。除此之外,四月份Doctor Web公司的专家还侦测到了用于未经授权安装应用的木马Android.GPLoader.1.origin

4月份最值得注意的移动安全事件有:

  • Android系统恶意广告模块活动;
  • 侦测到能够在用户不知情的情况下安装软件的新木马。

4月份移动威胁的更多详情请参阅移动威胁综述

和 Dr.Web 一起扩展知识

病毒统计信息 病毒介绍信息库 所有病毒综述 live实验室

最新新闻 全部新闻