Doctor Web:2016年11月病毒活动综述
2016.11.30
11月份发生了多起信息安全事件。Doctor Web公司病毒分析人员侦测到用于攻击俄罗斯银行的僵尸网络,还发现了针对吊车生产厂家的定向攻击。11月Google Play应用目录中的一个危险安卓木马下载量超过一百万。
11月主要趋势
- 出现攻击俄罗斯银行的僵尸网络
- 出现针对建筑用吊车生产厂家的定向攻击
- 一种安卓木马正在Google Play应用目录中进行传播
本月威胁
针对具体互联网资源或公司进行的定向攻击并不经常能够被发现。2011年Doctor Web公司侦测到木马BackDoor.Dande,功用是专门窃取药店及制药公司的信息。4年后又侦测到攻击国防企业的木马BackDoor.Hser.1。2016年11月Dr.Web病毒库添加了新木马BackDoor.Crane.1,该木马从龙门吊等吊车生产厂家员工的计算机上窃取重要文件和往来信件。此外,这一后门木马还会对被感染计算机进行截屏并发送到不法分子的控制服务器。
Doctor Web公司病毒分析人员认为,BackDoor.Crane.1编写者借用了各种来源(比如rsdn.org.网页)的部分代码,在用户访问互联网资源时,木马伪装成的User-Agent参数值“RSDN HTTP Reader”参数,以及资源中被忽视的隐藏窗口“关于Bot项目”可以证明这一点。
BackDoor.Crane.1 具备多个模块,在被感染设备中每个模块执行一个具体任务:
- 使用cmd命令解释程序执行控制服务器传送过来的指令;
- 从指定链接下载文件并将其保存在被感染计算机的指定文件夹中;
- 生成指定目录内容列表并将其发送到控制服务器;
- 截屏并发送到控制服务器;
- 使用FTP协议将文件下载到不法分子指定的服务器;
- 使用HTTP协议将文件下载到不法分子指定的服务器。
此外,该后门木马还能够根据不法分子指令下载两个由Python语言编写的恶意程序(Python.BackDoor.Crane.1和Python.BackDoor.Crane.2)并在受攻击计算机启动。这些木马详情请参阅Doctor Web公司网站发布的综述。
清除工具Dr.Web CureIt!统计数据结果
- Trojan.BtcMine.793
意在非法利用被感染计算机的计算资源以获取(开采)各种加密电子货币,例如比特币的恶意软件家族代表。 - Trojan.LoadMoney
由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件。 - Trojan.BPlug
此加载项(插件)用于常见浏览器,在网页中显示烦人的广告。 - Trojan.Triosir.687
作为浏览器插件(加载项)的木马家族代表,用于在浏览网页时显示烦人的广告。 - Trojan.MulDrop6.12114
用于在被感染计算机上安装其他恶意程序的木马家族代表。
Doctor Web统计服务器收集的数据结果
- JS.Redirector
用JavaScript语言写成的恶意脚本,用于将浏览器用户重定向至其他网页。 - Trojan.Zadved
是用于在浏览器窗口更换搜索系统输出结果以及在社交网站显示虚假弹出消息的插件。此外还包含木马功能,可更换各种网站显示的广告消息。 - JS.DownLoader
一种用JavaScript语言写的恶意脚本,用于在电脑上下载和安装其他恶意软件。 - Trojan.NtRootKit.6725
.能够在被感染系统自我隐藏的Rootkit木马,为了执行恶意功能会将自身代码植入到其他启动进程。
邮箱流量恶意程序统计
- JS.DownLoader
用JavaScript语言编写的恶意脚本家族,在电脑上下载和安装其他恶意软件。 - JS.Redirector
用JavaScript语言编写的恶意脚本家族,用于将浏览器用户自动重定向至其他网页。
Dr.Web Bot for Telegram的数据结果
- Android.Locker.139.origin
用于勒索用户钱财的安卓木马家族代表。此类恶意程序的各种变种能够显示烦人的消息,称用户似乎触犯了法律并因此锁定其移动设备,用户需要支付一定的金额进行解锁. - Joke.Locker.1.origin
锁定移动设备屏幕并显示Windows操作系统蓝屏(BSOD,Blue Screen of Death)的安卓玩笑程序. - BackDoor.Bifrost.29284
一种能够在被感染设备中执行不法分子指令的后门木马家族代表。 - Trojan.PWS.Spy.11887
一种能够窃取包括用户密码在内的机密信息的Windows木马家族代表. - Android.Spy
感染安卓移动设备的多功能木马家族,能够读取并记录联系方式,接收并发送短信,确定GPS定位,读取并记录浏览器书签,获取移动设备IMEI信息及移动电话号码.
木马加密器
11月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
- Trojan.Encoder.858 — 申请的16,97%;
- Trojan.Encoder.761 — 申请的14,54%;
- Trojan.Encoder.3953 —申请的 5,55%;
- Trojan.Encoder.3976 —申请的 3,79%;
- Trojan.Encoder.567 —申请的 1,50%.
危险网站
2016年11月Dr.Web不推荐网站和恶意网站数据库新添254 736个互联网地址。
2016.10 | 2016.11 | 增幅 |
---|---|---|
+ 338 670 | + 254 736 | -24,78% |
有些网站虽然不是诈骗网站,但是会复制国家机构官网的界面,利用钓鱼网站创建者的类似方法和手段误导用户,此类网站的所有者是不惜使用虚假广告的商家。Doctor Web公司将此类网站添加到不推荐网站数据库的原因及欺诈与广告的区别请参阅我公司新闻.
Dr.Web不推荐网站Linux恶意程序
从11月初开始,Doctor Web公司技术人员共侦测到针对Linux设备的389 285次攻击,其中 79 447次攻击使用的是SSH协议,309 838 次攻击——Telnet协议。网络犯罪分子下载到受攻击设备上的恶意程序的比例关系如下:
- Linux.Hajime
使用Telnet协议传播的Linux网络蠕虫家族。通过选配密码获取授权后,注入插件会将自身中针对MIPS/ARM架构、由计算机汇编语言编写的下载器保存到设备中。下载器从进行攻击的计算机上下载木马基本模块,将设备加入到结构分散的P2P僵尸网络中。 - Linux.DownLoader
用于将其它恶意程序下载到受攻击设备并进行安装的Linux恶意程序和脚本家族. - Linux.PNScan.2
用于感染Linux操作系统路由器的网络蠕虫。这一网络蠕虫执行下列任务:自行感染设备、打开9000和1337端口、处理通过这些端口接收到的请求、连接控制服务器。 - Linux.BackDoor.Remaiten
用于进行DDoS攻击的Linux恶意程序家族。该木马根据Telnet协议利用穷举密码的方法入侵设备,入侵后将由计算机汇编语言编写的下载器保存到设备中。该下载器的功用在于将其他恶意应用下载并安装到受攻击设备。 - Linux.BackDoor.Gates
将后门木马功能和DDoS-Bot功能相结合的Linux木马家族。此类木马能够执行接收到的指令,并进行DDoS攻击。
其他事件
11月Doctor Web公司病毒分析人员侦测到一个僵尸网络,用于发动密集攻击(DDoS攻击)以造成服务崩溃。不法分子使用IRC僵尸木马 BackDoor.IRC.Medusa.1进行攻击,这一木马使用文本消息更换协议IRC (Internet Relay Chat)获取指令,连接到指定的聊天通道。
BackDoor.IRC.Medusa.1 能够执行多种类型的DDoS攻击,根据不法分子指令下载执行文件并在被感染设备上启动。Doctor Web公司技术人员认为,不法分子正是利用这一恶意程序对俄罗斯储蓄银行(SBERBANK)进行大规模攻击。2016年11月11日到14日,不法分子多次利用该木马攻击网站rosbank.ru (ROSBANK) 和 eximbank.ru(EXIMBANK OF RUSSIA)。木马详情请参阅Doctor Web公司发布的。 新闻.
移动恶意软件和不良软件
11月Doctor Web公司病毒分析人员在Google Play目录侦测到木马 Android.MulDrop.924,该木马伪装成无害程序进行传播,能够下载恶意应用并显示烦人的广告。共有超过一百万的用户下载这一恶意程序。11月份还出现了预置在多款常用安卓设备上的木马Android.Spy.332.origin。该木马能够暗中下载、安装、卸载应用程序,并将机密信息传送到远程服务器。
11月份最值得注意的移动安全事件有:
- 在Google Play目录出现木马Android.MulDrop.924,能够下载应用程序并建议进行安装,还能够显示烦人的广告;
- 出现预置在多款移动设备中的木马Android.Spy.332.origin,能够暗中下载、安装并卸载软件。
11月份移动病毒情况更多详情请参阅移动威胁。 综述.