Doctor Web:2016年6月病毒活动综述
2016.06.30
2016年夏天第一个月份对于信息安全领域的专家来说是异常炎热:月初Doctor Web公司的病毒分析师完成了对银行病毒Bolik的研究,而很快又分析研究了无体广告木马Trojan.Kovter.297。此外,六月份俄罗斯的财务软件用户遭到频繁攻击。首先记录到一种使用1C软件内置语言编写的木马正在传播,其功用是在被攻击的电脑启动危险的加密器。稍后侦测并研究了木马间谍Trojan.PWS.Spy.19338。,这一间谍软件能够记录包括财务软件在内的各种应用的键盘录入。同时本月间病毒分析师两次在Google Play官方应用列表中侦测到了Android移动平台木马。
六月份主要趋势
- 出现了多态银行病毒Bolik
- 1C应用程序木马正在传播
- 出现了无体广告木马Trojan.Kovter
- 危险间谍木马Trojan.PWS.Spy.19338正在传播
本月威胁
1C软件系列为俄罗斯公司财务人员和经济师广为使用,而他们也正是病毒编写者极感兴趣的人群:Doctor Web公司的病毒分析师之前已经侦测到多种使用1C软件内置语言编写的恶意应用,而新木马1C.Drop.1从结构和功能上都与之前的恶意软件不同:这是一个完整的dropper,保存在硬盘中,并会启动危险的加密器Trojan.Encoder.567。
此木马通过电子邮件传播,信头为《我们变更了银行验证码》,附件为《1C:企业》软件外部处理文件。如果收件人按照信中的说明在《1C:企业》软件中打开了附件,木马就会向在合同方数据库中发现的电子邮箱地址发送其副本,然后从自身提取木马加密器Trojan.Encoder.567,将其保存到硬盘并启动运行。而加密器本身存在若干变种,可以加密保存在被感染计算机硬盘中的文件,并向用户勒索解密赎金。1C.Drop.1支持以下配置1C数据库:
- "贸易管理,版本11.1"
- "贸易管理(基础),版本11.1"
- "贸易管理,版本11.2"
- "贸易管理(基础),版本11.2"
- "企业会计,版本3.0"
- "企业会计(基础),版本3.0"
- "1С:综合自动化 2.0"
关于该恶意软件的更多信息可以参考Doctor Web公司网站发布的介绍。
清除工具Dr.Web CureIt!统计数据结果
Trojan.MulDrop
一种用于在被感染的计算机上安装其他恶意软件的木马家族代表。Trojan.InstallCore.1903
一种不良应用程序和恶意应用程序安装器家族代表。Trojan.Zadved
是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息。Trojan.DownLoader
恶意程序家族,用于在受攻击计算机下载其他恶意应用程序。Trojan.LoadMoney
由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件。
Doctor Web统计服务器收集的数据结果
JS.Redirector
用JavaScript语言写成的恶意脚本,用于将浏览器用户重定向至其他网页。JS.Downloader
一种用JavaScript语言写的恶意脚本,用于在电脑上下载和安装其他恶意软件。BackDoor.IRC.NgrBot.42
2011年被信息安全技术人员首次侦测的一种非常常见的木马。此家族的恶意程序能够在被感染计算机执行接收到的不法分子指令,网络犯罪分子利用文本消息更换协议IRC(Internet Relay Chat)对其进行控制。Trojan.InstallCore.1903
一种不良应用程序和恶意应用程序安装器家族代表。Trojan.Zadved
是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息。
邮箱流量恶意程序统计
JS.Redirector
用JavaScript语言写成的恶意脚本,用于将浏览器用户重定向至其他网页。JS.Downloader
一种用JavaScript语言写的恶意脚本,用于在电脑上下载和安装其他恶意软件。属于银行木马的恶意软件家族代表之一。该应用对远程银行服务用户构成威胁,因为它允许不法分子嵌入到一些银行网页中,通过拦截在浏览器中填写的表格来窃取机密信息。
Trojan.PWS.Turist
用于窃取密码和其他机密信息的木马软件,尤其是访问远程银行服务系统所必须的密码(其中包括使用的智能卡片认证机制)。Trojan.Encoder.858
勒索木马家族代表,加密电脑上的文件,需要受害者付钱解密。
木马加密器
2016年6月最常见的加密器是:
- Trojan.Encoder.858
- Trojan.Encoder.2843
- Trojan.Encoder.4860
2016年6月份木马加密器Trojan.Encoder.4860广泛传播,另一名称为JS.Crypt,其特点是全部使用JScript语言编写。该木马有一个自称——«RAA病毒»,被加密的文件获得扩展名*.locked。对用户文件加密后,Trojan.Encoder.4860在硬盘根文件夹放置一个RTF文件,内容为:
遗憾的是,现在Doctor Web公司的技术人员还不能为被该版本木马加密器损坏的文件提供解密工具。
其他事件
六月初Doctor Web公司的病毒分析师完成了对危险银行病毒Trojan.Bolik.1的研究。该病毒的功用是窃取俄罗斯银行账户,窃取机密信息以及进行间谍活动。该病毒继承了知名银行木马Zeus (Trojan.PWS.Panda)和Carberp的一些技术解决方案,但与它们不同的是能够在用户不参与的情况下进行传播以及感染可执行文件。
根据不法分子的命令,Trojan.Bolik.1在网盘和连接电脑的USB设备中寻找可执行文件,然后将其感染。Dr.Web反病毒软件将该病毒感染的软件命名为Win32.Bolik.1。每个这样的软件中都以加密的形式保存了银行木马Trojan.Bolik.1以及病毒所需要的其他信息。
Trojan.Bolik.1可以监视Microsoft Internet Explorer、Chrome、Opera和Mozilla Firefox浏览器转发和发送的数据(借此窃取用户在屏幕表格中输入的信息)。此外,病毒可以截屏,记录键盘输入,在被感染的机器上创建允许不法分子传输文件的代理服务器和网页服务器。有关该恶意软件的更多详细信息请参阅Doctor Web公司的详细介绍。
六月份另一新威胁是无体木马Trojan.Kovter.297。该恶意软件在用户不知情的情况下后台创建多个Microsoft Internet Explorer浏览器副本,利用这些副本查看不法分子指定的网站,通过点击广告链接和横幅提高广告查看量。该木马的显著特点是,它并不以单独文件的形式出现在被感染的电脑上,而是使用Windows系统注册表中的存储直接在内存中运行。
有关Trojan.Kovter.297的更多详细信息请参阅相关新闻材料。
本月底Doctor Web公司的病毒分析师发现了一组恶意软件,其中包括Trojan.PWS.Spy.19338——针对财务工作者的木马间谍。该木马的主要功能是跟踪一些应用窗口中的键盘录入,其中包括各种版本的1C和СБиС++。同时它还能够收集被感染系统的相关信息,向不法分子转发被感染计算机剪切板数据。更多有关Trojan.PWS.Spy.19338的详细信息请参阅我们的新闻文章。
六月份记录到Linux木马Linux.BackDoor.Irc.13的传播。该恶意软件为Linux.BackDoor.Tsunami的变种,且具备了进行DDoS攻击的功能。该木马使用在互联网中交换文本信息的IRC (Internet Relay Chat)协议接收命令。
不法分子的注意力也没有离开Apple电脑用户:在六月份Doctor Web的专家发现了新的OS X木马,命名为Mac.BackDoor.SynCloud.1。在运行时,它会检索当时在系统中所有OS X用户的登录用户名和密码,并将信息发送到控制服务器。Mac.BackDoor.SynCloud.1可以根据不法分子的命令从命令服务器下载并在被感染的计算机上安装可执行文件或Python语言脚本,还能够执行其他操作,例如,更新自己的版本。Mac.BackDoor.SynCloud.1与控制服务器交换的所有信息都是加密的。
危险网站
2016年6月Dr.Web不推荐网站和恶意网站数据库新添1 716 920个互联网地址。
2016年5月 | 2016年6月6 | 增幅 |
---|---|---|
+ 550 258 | + 1 716 920 | +212% |
移动恶意软件和不良软件
六月份Doctor Web公司的病毒分析师侦测到一些通过Google Play列表传播的恶意应用。其中一个被命名为Android.Valeriy.1.origin。该木马可以加载可疑网站,并以广告条的形式显示,为用户展示访问各种服务的电话号码,然而输入号码后受害者账户就将开始付费。同时木马还能够下载其他的恶意应用并执行JavaScript脚本。
在Google Play列表中还侦测到另一恶意软件,已被添加到病毒数据库中,命名为Android.PWS.Vk.3。该木马伪装成社交网站《Vkontakte》音乐播放器。Android.PWS.Vk.3要求用户输入账户和密码,然后将这些数据发送给不法分子。
6月份值得注意的移动安全事件有:
- 在Google Play列表中侦测到打开可疑网站并以广告条形式显示的木马;
- 在Google Play列表中侦测到通过《Vkontakte》窃取账户和密码的木马。
6月份移动威胁的更多详情请参阅 移动威胁综述.