Doctor Web:2017年4月病毒活动综述
2017.04.28
4月份发生了多起信息安全事件。月初网络犯罪分子组织恶意群发,用来传播一种从被被感染计算机窃取机密信息的多组件木马。4月中旬,Doctor Web公司技术人员对不法分子使用一种恶意程序欺骗用户的欺骗手段进行了研究。月末技术人员发现Microsoft Office办公软件存在的一个漏洞,并记录到一种从被感染计算机窃取密码的木马正在传播。
4月主要趋势
- 出现传播一种多组件木马的恶意群发
- Microsoft Office出现漏洞
- Windows木马程序正在传播
本月威胁
被命名为Trojan.MulDrop7.24844的多功能木马以电子邮件压缩附件的形式进行传播。
压缩文件包含使用Autoit语言创建的打包容器。Trojan.MulDrop7.24844在被感染计算机启动的一个组件是用来进行远程控制的应用,已被Dr.Web反病毒产品侦测并命名为Program.RemoteAdmin.753。此外,木马还会将32位和64位版本的Mimikatz工具保存到磁盘。Mimikatz工具用来截获打开Windows对话的密码。Trojan.MulDrop7.24844能够激活将键盘点击信息记录到文件的键盘记录器,还能够执行启动时指定参数设定的其他操作。不法分子利用木马获取使用RDP(Remote Desktop Protocol)协议的远程访问权限,以此来控制被感染计算机。该恶意程序详情请参阅Doctor Web公司发布的新闻。
Dr.Web反病毒产品收集的统计数据
- Trojan.DownLoader
用来在受攻击计算机下载其他恶意应用的木马家族。 - Trojan.InstallCore
一种不良应用程序和恶意应用程序的安装器家族。 - Trojan.LoadMoney
由联盟程序LoadMoney服务器生成的下载器程序家族。此类应用程序在受害者计算机下载并安装各种不良软件。 - Trojan.SMSSend.7306
通常以内置安装程序的压缩文件为形式的恶意程序家族代表,该恶意程序能够向服务号码发送付费短信以便继续安装或获取压缩文件访问权限,还能够指定电话号码,并在回复短信中输入收到的验证码,确认付费订阅。Trojan.SMSSend的基本功能是勒索。 - Win32.Virut.5
一种感染可执行文件并远程控制被感染计算机的复杂多态病毒。
Doctor Web统计服务器收集的数据结果
- JS.DownLoader
一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意软件。 - Trojan.InstallCore
一种不良应用程序和恶意应用程序的安装器家族。 - Trojan.DownLoader
用来在受攻击计算机下载其他恶意应用的木马家族。 - BackDoor.Comet.3269
在被感染设备执行不法分子指令并提供未授权访问权限的恶意程序家族代表。
邮箱流量恶意程序统计
- JS.DownLoader
一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意软件。 - Trojan.InstallCore
一种不良应用程序和恶意应用程序的安装器家族。 - Trojan.PWS.Stealer
一种用于窃取被感染计算机密码等机密信息的木马家族。 - W97M.DownLoader
利用办公软件运行漏洞的木马下载器家族。旨在向被攻击的计算机下载其他恶意软件。
Dr.Web Bot for Telegram的统计数据结果
- Android.Locker.139.origin
用于进行勒索的安卓木马家族代表,能够显示烦人的消息,称用户似乎触犯了法律并因此锁定其移动设备,用户需要支付一定的金额进行解锁。 - Android.HiddenAds.24
一种用来显示烦人广告的木马。 - BackDoor.Bifrost.29284
一种能够在被感染设备中执行不法分子指令的后门木马家族代表。 - Android.SmsSend.15044
用来发送高价短信并给用户订阅各种付费内容服务等服务的恶意程序家族代表。 - Joke.Locker.1.origin
锁定移动设备屏幕并显示Windows操作系统蓝屏(BSOD,Blue Screen of Death)的安卓玩笑程序。
4月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
- Trojan.Encoder.858 — 申请的33.57%;
- Trojan.Encoder.3953 — 申请的8.97%;
- Trojan.Encoder.567 — 申请的3.80%;
- Trojan.Encoder.10144 — 申请的3.59%;
- Trojan.Encoder.761 — 申请的2.58%。
2017年4月Dr.Web不推荐网站和恶意网站数据库新添568 903个互联网地址。
2017.03 | 2017.04 | 增幅 |
+ 223,173 | + 568,903 | + 154.91% |
4月中旬,Doctor Web公司介绍了最近打“假球”的网络流氓所使用的骗术。
通常,诈骗分子将关于即将到来的体育赛事的假信息卖给不知情的用户,声称用户一定可以利用这一信息从庄家处赢得赌注。现在网络犯罪分子说服受害者下载具有密码保护的自解压RAR压缩文件,声称其中包括带有比赛结果的文本文件。赛后犯罪分子会发送压缩文件密码,使受害者对预测结果深信不疑。但是受害者接收到的并非是压缩文件,而是不法分子编写的程序,该程序完全模仿利用WinRAR应用创建的SFX压缩文件的界面和操作。该虚假压缩文件包含一个文本文件模板,上面利用特有算法,根据用户输入的密码提供所需比赛结果。该程序被添加到Dr.Web病毒库,命名为Trojan.Fraudster.2986,其网页传播地址被添加到不推荐网站数据库。
Dr.Web不推荐网站其他信息安全事件
4月末Doctor Web公司技术人员记录到用来窃取常用浏览器密码、暗中下载各种文件的恶意程序Trojan.DownLoader23.60762正在传播。木马植入到被感染计算机的浏览器进程并导致网络无法运行。该木马能够执行下列指令:
- 从被感染计算机磁盘的临时文件夹启动文件;
- 植入到运行进程;
- 下载指定文件;
- 启动指定可执行文件;
- 保存并向不法分子传送使用Google Chrome的SQLite数据库;
- 将控制服务器更换成指定服务器;
- 删除cookies文件;
- 重启操作系统;
- 关闭计算机。
该恶意程序详情请参阅我公司网站发布的介绍。
4月份技术人员在Microsoft Office软件套装的Word文本编辑器中发现一个漏洞。不法分子利用这一漏洞编写了漏洞攻击程序Exploit.Ole2link.1。漏洞攻击程序是一个扩展名为.docx的Microsoft Word文档,用户一旦打开这一文档,就会下载另一个包含内置的HTA脚本、名为doc.doc的文件,Dr.Web产品已将其侦测并命名为PowerShell.DownLoader.72。这一HTA脚本使用Windows Script语法编写而成,能够调出PowerShell命令编辑器,处理在受攻击计算机下载可执行文件的另一个恶意脚本。该漏洞详情请参阅相关综述。
Linux恶意程序
4月份Doctor Web公司技术人员共侦测到1 317 388次针对Linux设备的攻击,其中147 401次攻击使用的是SSH协议,1 169 987次攻击——Telnet协议。网络犯罪分子下载到受攻击设备上的恶意程序比例如下:
- Linux.Mirai
用于组织DDoS攻击的Linux木马,能够禁用防止操作系统死机的看门狗软件watchdog(为了防止设备重启)。 - Linux.DownLoader
用于将其它恶意程序下载到受攻击设备并进行安装的Linux恶意程序和脚本家族。 - Linux.BackDoor.Remaiten
用于进行DDoS攻击的Linux恶意程序家族。该木马根据Telnet协议利用穷举密码的方法根据Telnet协议入侵设备,入侵后将由计算机汇编语言编写的下载器保存到设备中。该下载器的功用在于将其他恶意应用下载并安装到受攻击设备。 - Linux.Mrblack
一种用来执行DDoS攻击的木马程序,针对Linux版本的ARM处理器。该木马具有可执行远程控制服务器发来的指令的指令处理器。 - Linux.DDoS
针对Linux设备的恶意程序家族,用来组织DDoS攻击。 - Linux.PNScan
用来感染Linux操作系统路由器的网络蠕虫家族。这一蠕虫可执行下列任务:自行感染设备、打开9000和1337端口、处理通过这些端口接收到的请求、连接控制服务器。
4月份Doctor Web公司病毒分析人员对Linux.UbntFM家族恶意程序新版本进行了研究并将其命名为Linux.UbntFM.2。病毒编写者针对Air OS(Ubiquiti Networks生产并将其安装到自己的设备上)在内的Linux操作系统创建了这一木马。其形式为tgz压缩文件中传播的bash脚本。
Linux.UbntFM.2能够在被感染设备创建新账户、下载并启动任意文件。同时,由于使用Air OS网络界面可在不登录的情况下通过任意路径下载任意文件,使该木马还能够通过Air OS网络界面的漏洞攻击远程设备。如未成功安装协议(或受攻击设备没有安装Air OS),木马则试图使用“root”、“admin”、“ubnt”用户名和保存在“passlst”文件中的密码按照字典选配SSH连接证书。该恶意程序运行原则详情请参阅技术说明。
此外,4月份技术人员还侦测到Fgt家族木马新版本Linux.BackDoor.Fgt.645。该恶意程序变种与之前版本的不同之处在于其功能有限(其中仅包含用来入侵远程节点的密码选配模块和点滴木马),同时新版本还能够发送下载并启动sh脚本的申请。
移动恶意软件和不良软件
4月份Dr.Web病毒库还添加了被命名为Android.Chrysaor.1.origin的新间谍木马。病毒编写者能够利用这一木马进行定向攻击,窃取安卓用户机密信息。同时4月份在Google Play目录还出现了多个新银行木马。其中一个银行木马被命名为Android.BankBot.179.origin,能够伪装成浏览网上视频、事实上执行指定功能的程序进行传播。在Google Play目录侦测到的另外一个安卓银行木马被添加到病毒库,并命名为Android.BankBot.179.origin。该恶意程序伪装成手电筒软件。
4月份最值得注意的移动安全事件有:
- 出现一种用于从事网络间谍活动的安卓木马;
- 在Google Play目录出现多个窃取安卓用户机密信息并盗取其钱财的银行木马
4月份移动病毒情况更多详情请参阅移动威胁综述。