Doctor Web:2016年5月病毒活动综述

病毒报告 | Doctor Web公司新闻 | 病毒新闻

2016.05.31

2016年春天最后一个月份出现了一种新的后门软件,功能是跟踪Microsoft Windows用户,可是从被感染的计算机上窃取各种文件。编写平板电脑恶意软件的不法分子活动也没有减少:五月份病毒分析师记录到移动银行木马的传播再次活跃。Doctor Web公司的技术人员还对一种在被感染机器上实现代理服务器功能的木马进行了研究。

五月份主要趋势

  • 出现了危险的Windows木马间谍
  • 出现了将被感染的计算机变成代理服务器的木马
  • Android银行木马传播

本月威胁

间谍木马能够窃取用户珍贵的机密信息,极为危险。Doctor Web公司的技术人员在五月初加以研究的木马BackDoor.Apper.1就是这样一种恶意软件。

此后门通过点滴程序dropper传播,为Microsoft Excel文件的形式,内嵌有一个特殊的宏。宏按字节收集,然后运行一个自解压文档。该文档中包含的不法分子从Symantec集团流行产品供应套装中借用的一个可执行文件。该文件具有有效的Symantec数字签名,运行的时候在计算机内存中载入一个动态数据库,以实现木马基本的恶意功能。

srceen #drweb

BackDoor.Apper.1的主要目的是从被感染的计算机中窃取各种文件,但是该木马还能够完成不法分子其他指令。关于BackDoor.Apper.1的更多详细信息,请参阅我公司网站发布的介绍

清除工具Dr.Web CureIt!统计数据结果

清除工具Dr.Web CureIt!统计数据结果

  • Trojan.Zadved

    是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息。

  • Trojan.InstallCore.1903

    一种不良应用程序和恶意应用程序安装器家族代表。

  • Trojan.MulDrop

    一种用于在被感染的计算机上安装其他恶意软件的木马家族代表。一种用于在被感染的计算机上安装其他恶意软件的木马家族代表。

  • Trojan.StartPage

    能够在浏览器设置中更改起始页的恶意软件家族。

Doctor Web统计服务器收集的数据结果

Doctor Web统计服务器收集的数据结果 #drweb

  • Trojan.Zadved

    是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息。

  • Trojan.InstallCore.1903

    一种不良应用程序和恶意应用程序安装器家族代表。

  • BackDoor.IRC.NgrBot.42

    2011年被信息安全技术人员首次侦测的一种非常常见的木马。此家族的恶意程序能够在被感染计算机执行接收到的不法分子指令,网络犯罪分子利用文本消息更换协议IRC(Internet Relay Chat)对其进行控制。

  • Trojan.BPlug

    此加载项(插件)用于常见浏览器,在网页中显示烦人的广告。

  • Trojan.KillProc.41114

    能够停止其他应用程序正在运行的进程并且在被感染计算机上完成其他操作的恶意软件家族代表。

邮箱流量恶意程序统计

邮箱流量恶意程序统计 #drweb

  • JS.Downloader

    一种用JavaScript语言写的恶意脚本,用于在电脑上下载和安装其他恶意软件。

  • Trojan.Bayrob.57

    一种能够窃取机密信息并且在被感染的计算机上执行其他用户不需要操作的木马。

  • Win32.HLLM.Graz

    一种群发邮件蠕虫,在特定端口跟踪数据流量并选择交换数据以获取密码;该信息被用于进一步传播蠕虫。

  • W97M.DownLoader

    利用办公软件运行漏洞的木马下载器家族。旨在向被攻击的计算机下载其他恶意软件。

木马加密器

木马加密器 #drweb

2016年5月最常见的加密器是:

Dr.Web Security Space 11.0 for Windows
抵御木马加密器

大蜘蛛基础版Dr.Web Anti-virus for Windows授权不包含此功能。

防止数据丢失
防止数据丢失防止数据丢失

详情

危险网站

2016年5月Dr.Web不推荐网站和恶意网站数据库新添550 258个互联网地址。

2016年4月2016年5月增幅
+749,173+550,258-26.55%
不推荐网站

其他事件

TeamViewer是一种常见的远程控制软件,IT技术专家和系统管理员可以利用这一工具通过网络访问操作系统后完成一些操作,如更改设置或传送需要的文件。然而该工具有时也会被不法分子利用,不法分子修改TeamViewer后将其应在Windows任务栏显示的图标隐藏,然后用户不知情的情况下连接受害者电脑。

BackDoor.TeamViewer.49木马也使用TeamViewer,但目的不同:木马能够利用它在计算机内存中加载数据库来实现基本恶意功能。该后门程序将被感染的电脑变成代理服务器,将数据流量从管理服务器重定向至远程节点。这使不法分子在通过被感染的机器连接远程计算机时就像是通过普通的代理服务器进行的连接,从而实现网络匿名。有关BackDoor.TeamViewer.49的传播特点和功能的更多信息,请参阅Doctor Web公司网站发布的介绍

移动恶意软件和不良软件

感染Android操作系统移动设备的银行木马仍然严重威胁用户。在刚刚过去的五月中,不法分子继续利用这些恶意软件从智能手机和平板电脑用户手机盗取钱财。能够攻击全球多家金融机构用户的银行木马Android.SmsSpy.88.origin继续传播。此外,Doctor Web公司的技术人员还侦测到了大量的诈骗网站,病毒编写者利用这些网站传播木马Android.BankBot.104.origin以及其他Android银行木马。

5月份最值得注意的移动安全事件有:

  • 能够攻击全球数十家银行用户的银行木马Android.SmsSpy.88.origin持续传播;
  • 不法分子利用假意提供游戏破解软件和无限游戏资源的诈骗网站传播银行木马。

5月份移动威胁的更多详情请参阅移动威胁综述

和 Dr.Web 一起扩展知识

病毒统计信息 病毒介绍信息库 所有病毒综述 live实验室

最新新闻 全部新闻