Doctor Web:2017年8月病毒活动综述
2017.08.31
8月初我公司技术人员侦测到多起针对互联网资源管理员的邮件群发。诈骗份子以“区域网络信息中心”(RU-CENTER)的名义发送邮件,而且很有可能使用的是域管理员的联系人数据库。邮件要求收件人在服务器放置一个特殊的PHP文件,而放置此文件可导致互联网资源受到攻击。8月份还侦测到一个挖矿木马,木马下载器代码包含常用信息安全专家Brian Krebs的网站地址。此外,Dr.Web病毒库还添加了针对MIPS和MIPSEL架构设备的Linux.Hajime木马下载器。/p>
8月主要趋势
- 欺诈邮件群发增多
- 出现一种新的挖矿木马
- 出现针对MIPS和MIPSEL的Linux.Hajime木马下载器
本月威胁
Linux.Hajime家族网络蠕虫最早出现在2016年。不法分子使用Telnet协议传播此类木马。在受攻击的设备上使用选配密码登录后,注入插件保存其自身包含的使用汇编语言编写的下载器。 下载器从发动攻击的计算机下载木马的主模块,这一模块会将被感染设备添加到分散式P2P僵尸网络。 之前反病毒软件侦测到的Linux.Hime下载器仅针对ARM架构设备,8月份Doctor Web公司病毒分析人员已将针对MIPS和MIPSEL设备且功能相同的恶意应用程序添加到了病毒库。
根据Doctor Web公司统计数据表明, Linux.Hajime感染事件主要发生在墨西哥,其次是土耳其,第三是巴西。以Linux.DownLoader.506和Linux.DownLoader.356命名并被添加到Dr.Web病毒库的Hajime下载器的更多信息请参阅我公司网站发表的文章。
Dr.Web反病毒产品收集的统计数据
- Trojan.Inject
- 在其他程序进程嵌入恶意代码的恶意程序家族。
- Trojan.DownLoader
- 用来在受攻击计算机下载其他恶意应用的木马家族。
- Trojan.InstallCore
- 一种不良应用程序和恶意应用程序的安装器家族。
Doctor Web统计服务器收集的数据结果
- Trojan.DownLoader
- 用来在受攻击计算机下载其他恶意应用的木马家族。
- JS.Inject.3
- 一种用JavaScript语言编写的恶意脚本家族,可将恶意脚本嵌入到网站HTML代码。
- JS.DownLoader
- 一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意软件。
- Trojan.InstallCore
- 一种不良应用程序和恶意应用程序的安装器家族。
- Trojan.PWS.Stealer
- 一种用于窃取被感染计算机密码等机密信息的木马家族。
邮箱流量恶意程序统计
- JS.DownLoader
- 一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意软件。
- VBS.DownLoader
- 一种用VBScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意软件。
- Trojan.Encoder.13570
- 一种加密计算机文件并要求受害者支付解密的勒索木马家族代表。
加密器
8月份,Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
- Trojan.Encoder.858 — 申请的 29,21%;
- Trojan.Encoder.567 — 申请的 4,02%;
- Trojan.Encoder.761 — 申请的 1,85%;
- Trojan.Encoder.11464 — 申请的 1,85%;
- Trojan.Encoder.741 — 申请的 1,55%;
- Trojan.Encoder.3976 — 申请的 1,08%.
Dr.Web Security Space for Windows
抵御木马加密器
This feature is not available in Dr.Web Anti-virus for Windows
| Data Loss Prevention | |
|---|---|
 |  |
危险网站
2017年8月份Dr.Web不推荐网站和恶意网站数据库新添275 399个互联网地址。
| 2017.07 | 2017.08 | 增幅 |
|---|---|---|
| + 327 295 | + 275 399 | -15,8% |
不推荐网站列表经常会出现受到不法分子攻击的网站。这些网站被添加了用于伪造访问量的脚本和将用户重定向到第三方网站的脚本,有时不法分子会以这种形式传播恶意软件。以破坏互联网资源为目的实施定向攻击时,不法分子首先会收集目标网站的相关信息,比如试图确定网站的Web服务器的类型和版本、内容管理系统的版本、“引擎”的编程语言以及包括受攻击网站主域名的子域列表等其他技术信息。如果网站的DNS服务器配置正确,入侵者将无法根据自己的请求获取相关域的信息。但如果DNS服务器设置有误,网络犯罪分子利用专门的AXFR请求就会获取在域中注册的子域的完整数据信息。 DNS服务器的错误配置本身不是一个漏洞,但却可能成为互联网资源被入侵的间接原因。更多详情可参 阅我公司网站发表的文章。
其他信息安全事件
8月份,Doctor Web公司病毒分析人员在病毒库中添加了一个新的Linux挖矿木马,将其命名为Lenux.BtcMine26。该恶意程序的功用在于获取Montero加密电子货币(XMR),传播方式与Linux.Mirai相同:不法分子使用Telnet协议连接受攻击的设备,选配用户名和密码,随后将下载器保存到设备。 然后,网络犯罪分子使用控制台指令从终端启动下载器,将木马下载到设备。
Linux.BtcMine.26 挖矿程序下载器具备一个独特的架构特征:在其代码中多次出现知名信息安全专家Brian Krebs的网站地址krebsonsecurity.com。 该恶意程序的详细信息请参阅我公司发布的新闻。
移动恶意软件和不良软件
今年夏天的最后一个月Google Play目录侦测到多个安卓恶意应用。已添加到Dr.Web病毒库中的木马Android.Click.268和Android.Click.274对网络资源执行DDoS攻击。另一个名为Android.Click.269的木马暗中加载不法分子指定的Web网页,点击网页中的横幅,使网络犯罪分子获利。8月份在Google Play传播的另一个安卓恶意程序也已添加到病毒库,命名为Android.BankBot.225.origin。 该恶意程序在运行的银行程序和其他软件上方显示虚假的输入窗口,窃取所有输入信息。同时,8月份在Google Play目录中还出现点滴木马Android.MulDrop.1067,其功用是安装其他木马程序。
8月份最值得注意的移动安全事件有:
- 出现执行Web网站DDoS攻击的安卓木马;
- 在Google Play目录发现一种新的银行木马;
- 在Google Play目录发现一种用于安装其他木马的恶意点滴木马。
8份移动病毒情况更多详情请参阅移动威胁综述。