病毒报告
13.11 Doctor Web:2019年10月病毒活动综述
2019.11.13
10月份Dr.Web服务器记录的统计信息显示威胁总量较上个月有所,但威胁种类则减少了6.86%。邮箱流量中最常见的仍是利用Microsoft Office文件漏洞的恶意软件以及各种钓鱼链接。恶意和不良软件统计数据显示,用于盗取密码的木马数量众多,但大部分给用户造成安全威胁的仍旧是广告程序。
10月主要趋势
- 独特代码恶意软件数量有所下降
- 加密器感染频发
Doctor Web统计服务器收集的数据
本月威胁:
- Trojan.PWS.Siggen2.34629
- 用于盗取密码的木马。
- Adware.Elemental.14
- 从文件交换服务平台加载文件时偷换链接,下载的不是用户要的文件,而是广告程序,而且除了显示广告,还有加载其他用户并不需要的软件的功能。
- Adware.SweetLabs.2
- 替代 Adware.Opencandy出品Windows图形界面的附加组件和应用目录
- Adware.Softobase.15
- 传播过时软件的安装程序。更改浏览器设置。
- Adware.Ubar.13
- 在设备上安装不良软件的Torrent客户端。
- Trojan.InstallCore.3553
- 已知的广告程序安装器,未经用户同意显示广告并加载其他程序。
邮箱流量恶意程序统计数据
- Exploit.Rtf.CVE2012-0158
- 修改过的Microsoft Office Word文档,利用CVE2012-0158漏洞执行恶意代码。
- W97M.DownLoader.2938
- 利用Microsoft Office文档漏洞的木马下载器家族。用于在受攻击计算机下载其他恶意程序。
- PDF.Phisher.115
- 钓鱼链接中使用的Pdf文件。
- Exploit.ShellCode.69
- 利用漏洞CVE-2017-11882的Microsoft Office Word恶意文件。
- Trojan.PWS.Siggen2.34629
- 用于盗取密码的木马。
- Trojan.PWS.Stealer.19347
- 从被感染计算机盗窃密码等用户隐私信息的木马家族。
加密器
与9月份相比,Doctor Web公司技术支持部门接收到的解密申请又有所增加:
Trojan.Encoder.858 — 16.34%- Trojan.Encoder.10700 — 6.27%
- Trojan.Encoder.29750 — 2.81%
Trojan.Encoder.11539 — 2.64%Trojan.Encoder.25574 — 2.64%ACCDFISA v2 — 2.48%- Trojan.Encoder.11464 — 2.15%
Dr.Web Security Space for Windows抵御木马加密器
危险网站
2019年10月份Dr.Web不推荐网站和恶意网站数据库新添254 849个互联网地址。
| 2019.09 | 2019.10 | 增幅 |
|---|---|---|
| + 238 637 | + 254 849 | + 6.79% |
移动恶意软件和不良软件
10月我公司技术人员在Google Play侦测到多种恶意软件。其中有为用户订购高付费服务的木马家族
10月主要的移动安全事件:
- 恶意软件大肆利用Google Play进行传播;
10月份移动病毒情况更多详情请参阅移动威胁综述。
13.11 Doctor Web:2019年10月移动设备病毒活动综述
2019.11.13
10月份安卓设备用户遭遇多种威胁。Doctor Web公司病毒分析师在Google Play中侦测到多种威胁,其中有为用户订购高付费服务的木马家族
10月主要趋势
- Google Play安全威胁数量增加
本月移动威胁
本月初我公司已向用户通报发现多个点击木马,并已添加到Dr.Web病毒库,分别命名为
- 内置于正常软件;
- 有打包保护;
- 利用已知的SDK加以伪装;
- 定向攻击某些国家的用户。
本月还陆续发现了这些点击木马的变种,如
Dr.Web for Android保护365娱乐网统计信息
Android.HiddenAds .472.origin- 显示烦人广告的木马。
Android.RemoteCode .5564- 用于加载和执行任意代码的恶意应用。
Android.Backdoor .682.origin- 一种执行不法分子指令的木马,可用来控制被感染移动设备。
Android.DownLoader .677.origin- 加载其他恶意程序。
Android.Triada .465.origin- 可执行各种恶意功能的多功能木马。
Program.FakeAntiVirus .2.origin
假冒反病毒软件侦测广告应用。Program.MonitorMinor .1.originProgram.MobileTool .2.originProgram.FreeAndroidSpy .1.originProgram.SpyPhone .4.origin
监视安卓设备用户,不法分子利用这些软件进行网络犯罪。
Tool.SilentInstaller .6.originTool.SilentInstaller .7.originTool.SilentInstaller .11.originTool.VirtualApk .1.origin
风险平台,允许不安装就启动apk文件- Tool.Rooter.3
用于获取安卓设备的root权限,此功能可被不法分子和恶意软件所利用。
内置于安卓应用的广告模块,用于在移动设备不断显示广告:
Adware.Patacore .253- Adware.Myteam.2.origin
- Adware.Toofan.1.origin
- Adware.Adpush.6547
- Adware.Altamob.1.origin
Google Play中的木马
除了点击木马,我公司技术人员还在Google Play发现已知恶意应用家族
此外,还侦测到广告木马家族
Dr.Web病毒库还添加了两个用于侦测 木马
我们建议用户安装Dr.Web安卓保护365娱乐网来保护安卓设备,抵御恶意程序和不良程序。
Your Android needs protection.
Use Dr.Web
- The first Russian anti-virus for Android
- Over 140 million downloads—just from Google Play
- Available free of charge for users of Dr.Web home products
09.10 Doctor Web:2019年9月病毒活动综述
2019.10.09
8月份Dr.Web服务器记录的统计信息显示威胁总量较上个月上升19.96%,但威胁种类则只减少了50.45%。大部分给用户造成安全威胁的是广告程序、软件加载器和安装器。邮箱流量中最常见的仍是利用Microsoft Office文件漏洞的恶意软件。
木马加密器受害人提交的解密申请数量增多,最常见的加密木马是
9月主要趋势
- 加密器受害用户增多
- 广告木马和广告程序仍是最活跃的网络威胁。
Doctor Web统计服务器收集的数据
本月威胁:
- Adware.SweetLabs.1
- Adware.SweetLabs.2
- 替代
Adware.Opencandy 出品Windows图形界面的附加组件和应用目录 - Adware.Elemental.14
- 从文件交换服务平台加载文件时偷换链接,下载的不是用户要的文件,而是广告程序,而且除了显示广告,还有加载其他用户并不需要的软件的功能。
- Adware.Softobase.15
- 传播过时软件的安装程序。更改浏览器设置。
- Adware.Ubar.13
- 在设备上安装不良软件的Torrent客户端。
邮箱流量恶意程序统计数据
- Exploit.Rtf.CVE2012-0158
- 修改过的Microsoft Office Word文档,利用CVE2012-0158漏洞执行恶意代码。
Trojan.SpyBot.699 - 拦截键盘输入的间谍木马。
- W97M.DownLoader.2938
- 利用Microsoft Office文档漏洞的木马下载器家族。用于在受攻击计算机下载其他恶意程序。
PDF.DownLoader.57 (新威胁)- 一种依靠专门生成的PDF 文件传播的木马加密器。
Exploit.ShellCode.69 - 利用漏洞CVE-2017-11882的Microsoft Office Word恶意文件。
加密器
与8月份相比,Doctor Web公司技术支持部门接收到的解密申请增加14.59%:
大部分来自以下木马加密器受害者:
Trojan.Encoder.858 — 16.60%Trojan.Encoder.11464 — 6.93%Trojan.Encoder.11539 — 5.04%Trojan.Encoder.25574 — 2.94%Trojan.Encoder.10700 — 2.52%Trojan.Encoder.567 — 1.89%Trojan.Encoder.24383 — 1.47%
Dr.Web Security Space for Windows抵御木马加密器
危险网站
2019年9月份Dr.Web不推荐网站和恶意网站数据库新添238 637个互联网地址。
| 2019.08 | 2019.09 | 增幅 |
|---|---|---|
| + 204 551 | + 238 637 | + 16.66% |
移动恶意软件和不良软件
9月我公司技术人员在Google Play侦测到多种恶意软件。月初添加到Dr.Web病毒库的是攻击巴西用户的银行木马
通过Google Play传播的威胁有木马加载器
本月我公司病毒分析师还发现了用于网络间谍活动的新版本风险程序。
9月主要的移动安全事件:
- 恶意软件通过Google Play目录进行传播;
- 发现网络间谍软件的新版本。
9月份移动病毒情况更多详情请参阅移动威胁综述。
09.10 Doctor Web:2019年9月移动设备病毒活动综述
2019.10.09
Doctor Web公司技术人员9月在Google Play中侦测到多种威胁安卓设备用户的恶意软件,包括加载器
9月主要趋势
- Google Play仍是恶意软件和不良应用的传播源
- 间谍软件对用户造成的安全威胁依然存在
本月移动威胁
本月侦测到的恶意软件之一是伪装成加密货币交易平台YoBit官方应用的银行木马
木马拦截短信双确认编码以及邮件中所含确认码,还能拦截各种即时通讯软件或邮箱客户端发出的通知。
Dr.Web for Android保护365娱乐网统计信息
Android.RemoteCode .6122Android.RemoteCode .5564- 用于加载和执行任意代码的恶意应用。
Android.HiddenAds .455.originAndroid.HiddenAds .472.origin(新威胁)- 显示烦人广告的木马。
Android.Backdoor .682.origin- 一种执行不法分子指令的木马,可用来控制被感染移动设备。
用于在移动设备不断显示广告的安卓应用内嵌模块:
Adware.Patacore .253- Adware.Gexin.3.origin
- Adware.Zeus.1
- Adware.Altamob.1.origin
可暗中启动应用的风险软件:
Tool.SilentInstaller .6.origin
Google Play中的安全威胁
除了上面介绍的银行木马
不法分子将
这种银行木马利用安卓操作系统的特殊功能(Accessibility Service)盗取短信信息,如一次性确认码及其他机密。和之前的版本一样,新变种能够按照不法分子的指令打开钓鱼网页。
9月在Google Play侦测到新的广告木马家族
侦测到的恶意软件还有木马加载器,如
9月在Google Play 发现多个木马家族 Android.Joker中的新变种,冒充摄像头插件、照片编辑器、图片收集器以及其他各种系统插件传播。
这些木马能够加载‘启动dex辅助文件,还能执行任意代码,从网站加载收费信息或自行打开链接,自动为用户订购高收费服务,并拦截短信中的确认码,代替用户确认支付。Android.Joker还能窃取通讯簿信息并发送给控制服务器。
其他自动为用户订购高收费服务的恶意软件还有命名为
间谍软件
9月份Doctor Web公司技术人员发现多个风险程序新版本,具备监视安卓设备用户的功能,包括
,都属于间谍软件,能够控制短信以及各种常用即时通讯工具中的信息往来,还能监控设备位置、获取其他用户私密信息。
Your Android needs protection.
Use Dr.Web
- The first Russian anti-virus for Android
- Over 140 million downloads—just from Google Play
- Available free of charge for users of Dr.Web home products
09.09 Doctor Web:2019年8月病毒活动综述
2019.09.09
8月份Dr.Web服务器记录的统计信息显示威胁总量较7月下降了21.28%,而其中威胁种类则只减少了2.82%。 邮箱流量中最常见的是利用Microsoft Office文件漏洞的恶意软件和木马加载器。与上月相比还有一处相同的趋势,就是大多数恶意威胁为广告程序。
8月主要趋势
- 恶意软件传播广泛度下降
- 不良网站和恶意网站数量增加
- 加密器造成的危害加剧
本月威胁
8月份我公司反病毒实验室技术人员发现有黑客在利用常用服务性网站的副本来传播一种危险的银行木马。其中一种服务是用户熟知的VPN服务,还有的是假冒办公软件官网。
Doctor Web统计服务器收集的数据
本月威胁:
- Adware.Softobase.15
- 传播过时软件的安装程序。更改浏览器设置。
- Adware.Ubar.13
- 在设备上安装不良软件的Torrent客户端。
- Trojan.Winlock.14244
- 阻止或限制用户访问操作系统及其基本功能。向被锁系统用户勒索解锁费。
- Trojan.InstallCore.3553
- 一种广告程序安装器,用于显示广告,未经用户同意加载其他程序。
邮箱流量恶意程序统计数据
- Exploit.Rtf.CVE2012-0158
- 修改过的Microsoft Office Word文档,利用CVE2012-0158漏洞执行恶意代码。
- W97M.DownLoader.2938
- 利用Microsoft Office文档漏洞的木马下载器家族。用于在受攻击计算机下载其他恶意程序。
- Exploit.ShellCode.69
- 利用漏洞CVE-2017-11882的Microsoft Office Word恶意文件。
- Trojan.PWS.Stealer.19347
- 从被感染计算机窃取密码及其他机密信息的木马家族。
加密器
8月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
Trojan.Encoder.858 — 17.73%Trojan.Encoder.11464 — 7.09%Trojan.Encoder.18000 — 4.96%Trojan.Encoder.28004 — 4.26%Trojan.Encoder.11539 — 2.60%Trojan.Encoder.25574 — 1.18%Trojan.Encoder.567 — 1.65%
Dr.Web Security Space for Windows抵御木马加密器
危险网站
2019年8月份Dr.Web不推荐网站和恶意网站数据库新添204 551个互联网地址。
| 2019.07 | 2019.08 | 增幅 |
|---|---|---|
| + 123 251 | + 204 551 | + 65.96% |
移动恶意软件和不良软件
8月我公司技术人员在Google Play侦测到多种恶意软件。月初添加到Dr.Web病毒库的是木马
8月末我公司技术人员再次侦测到攻击巴西安卓设备用户的银行木马,将其命名为
8月主要的移动安全事件:
- 恶意软件通过Google Play目录进行传播;
- 出现多个新的不良广告模块。
8月份移动病毒情况更多详情请参阅移动威胁综述。
09.09 Doctor Web:2019年7月移动设备病毒活动综述
2019.09.09
Doctor Web公司技术人员8月在Google Play中侦测到一种内置在正常软件中的木马点击器
8月主要趋势
- 在Google Play侦测到新的恶意软件
- 出现新的不良广告模块
本月移动威胁
8月初Doctor Web公司向用户通报在Google Play的34个应用中侦测到.木马
- 在启动8小时候才开始执行恶意功能;
- 部分功能为反射性执行;
- 可利用WAP-Click技术为用户认购高收费服务。
Android.Click.312.origin详情见我公司网站发布的相关新闻。
Dr.Web for Android保护365娱乐网统计信息
Android.HiddenAds .455.origin- 一种用于在移动设备上显示烦人的广告的木马。
Android.Backdoor .682.origin- 一种执行不法分子指令的木马,可用来控制被感染移动设备。
Android.Triada .467.origin- 可执行不同恶意操作的多功能木马。
Android.RemoteCode .197.originAndroid.RemoteCode .5564- 用于加载和执行任意代码的恶意应用。
用于在移动设备不断显示广告的安卓应用内嵌模块:
- Adware.Gexin.3.origin
Adware.Patacore .253- Adware.Zeus.1
- Adware.Altamob.1.origin
- Adware.Myteam.2.origin (新威胁)
Google Play中的安全威胁
除了上面介绍的点击器
此外,病毒分析人员还发现俄新的广告木马家族
8月末我公司技术人员再次侦测到攻击巴西安卓设备用户的银行木马,将其命名为
我们建议用户安装Dr.Web安卓反病毒软件来保护安卓设备,抵御恶意程序和不良程序。
Your Android needs protection.
Use Dr.Web
- The first Russian anti-virus for Android
- Over 140 million downloads—just from Google Play
- Available free of charge for users of Dr.Web home products
05.08 Doctor Web:2019年7月病毒活动综述
2019.08.05
7月份,Dr.Web服务器统计数据显示,与6月份相比,侦测到的威胁总增量降低了54.21%,但同时新威胁的数量几乎翻了一番。邮箱流量中最活跃的是利用Microsoft Office文档漏洞的恶意软件。侦测到的威胁中总量最多的仍然是广告程序和木马安装器。7月份,加密木马Trojan.Encoder.858最为活跃,占Doctor Web公司技术支持部门接收到的全部解密申请的21.15%。
Doctor Web公司分析人员基于2016年以来从被感染设备中收集的统计数据准备了一份报告,对智能设备和物联网(IoT)最常见的威胁进行了全面介绍,希望能够引起人们对IoT领域安全问题的关注。
7月主要趋势
- 新的恶意软件传播更广
- 木马加密器活跃度下降
Doctor Web统计服务器收集的数据结果
本月的威胁:
- Adware.Ubar.13
- 在设备上安装不良软件的Torrent客户端。
- Adware.Softobase.15
- 传播过时软件的安装程序。更改浏览器设置。
- Trojan.Packed.20771
- 安装恶意浏览器扩展,将搜索引擎结果重定向到其他网站。
- Trojan.Winlock.14244
- 阻止或限制用户访问操作系统及其基本功能。解锁系统需要向木马编写者的账户转账。
- Trojan.DownLoader29.14148
- 未经用户同意加载并执行恶意程序。
邮箱流量恶意程序统计
- Exploit.Rtf.CVE2012-0158
- 修改过的Microsoft Office Word文档,利用CVE2012-0158漏洞执行恶意代码。
- W97M.DownLoader.2938
- 利用Microsoft Office文档漏洞的木马下载器家族。用于在受攻击计算机下载其他恶意程序。
- Exploit.ShellCode.69
- 利用漏洞CVE-2017-11882的Microsoft Office Word恶意文件。
- JS.DownLoader.1225
- 由JavaScript语言编写的恶意脚本家族。在计算机下载并安装其他恶意程序。
加密器
7月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
Trojan.Encoder.858 — 21.15%Trojan.Encoder.567 — 9.45%Trojan.Encoder.11464 — 8.01%Trojan.Encoder.25574 — 4.93%Trojan.Encoder.18000 — 3.90%Trojan.Encoder.11539 — 3.08%Trojan.Encoder.28004 — 1.85%
Dr.Web Security Space for Windows抵御木马加密器
危险网站
2019年7月份Dr.Web不推荐网站和恶意网站数据库新添123 251个互联网地址。
| 2019.06 | 2019.07 | Д增幅 |
|---|---|---|
| + 151 162 | + 123 251 | -18.46% |
移动恶意软件和不良软件
7月中旬,Doctor Web公司宣布在Google Play上发现了一个新的危险木马
Doctor Web公司分析人员还侦测到新的
Dr.Web病毒库还添加了多个用来从事网络间谍活动的
7月份最值得注意的移动安全事件有:
- 出现一种执行不法分子指令的危险后门木马;
- 在Google Play出现新的恶意程序;
- 用于从事网络间谍活动的木马开始传播。
7月份移动病毒情况更多详情请参阅移动威胁综述。
05.08 Doctor Web:2019年7月移动设备病毒活动综述
2019.08.05
7月份,Doctor Web公司公布侦测到危险木马
7月主要趋势
- 一种监视用户并执行网络犯罪分子指令的安卓后门木马正在传播
- Google Play中新增木马和不良程序
- 间谍木马开始传播
本月移动威胁
7月中旬,Doctor Web公司病毒分析人员对木马
而实际上这一后门木马的功能是监视用户,并向不法分子发送智能手机或平板电脑中联系人、电话和定位信息,还能将文件从设备上传到远程服务器、下载并安装程序。
- 该木马的主要恶意组件隐藏在一个辅助模块中,以加密的形式保存在应用程序的资源目录中;
- 具有root权限时可以自动安装软件;
- 能够执行从控制服务器接收的shell指令。
Dr.Web安卓反病毒365娱乐网收集的统计数据
Android.Backdoor .682.origin- 一种执行不法分子指令的木马,可用来控制被感染移动设备。
Android.HiddenAds .1424- 用来显示烦人广告的木马。被伪装成热门应用进行传播。
Android.RemoteCode .197.originAndroid.RemoteCode .5564Android.RemoteCode .216.origin- 旨在加载并执行任意代码的恶意应用。
内嵌在安卓应用的程序模块,用于在移动设备上显示烦人的广告:
- Adware.Zeus.1
- Adware.Gexin.3.origin
Adware.Patacore .253- Adware.Altamob.1.origin
风险程序平台,使用户无需安装应用即可运行apk文件:
Tool.VirtualApk .1.origin
Google Play中的威胁
Doctor Web公司病毒分析人员在7月初就已在Google Play中发现大量新的
此外,病毒分析人员还发现了新的不良广告模块
网络间谍活动
7月份,Dr.Web病毒库还添加了间谍木马
后者显示诈骗消息,提示潜在受害者更新Google Play组件。如果用户同意,木马会显示一个模仿Google帐户登录页面的钓鱼窗口。
病毒编写者在拼写“Sign in”短语时出现错误,受害者可以通过这一错误发现网页的问题,如果没有注意到这一点并登录帐户,
建议用户安装Dr.Web安卓反病毒软件来保护安卓设备抵御恶意程序和不良程序。
Your Android needs protection.
Use Dr.Web
- The first Russian anti-virus for Android
- Over 140 million downloads—just from Google Play
- Available free of charge for users of Dr.Web home products
03.07 Doctor Web:2019年6月病毒活动综述
2019.07.03
6月份,Dr.Web服务器统计数据显示,与5月份相比,威胁总量和新威胁数量均大幅增加。所侦测到的威胁中广告程序和木马安装器总量最多,邮箱流量中的恶意软件最为活跃。现再度活跃的程序包括之前被用于攻击石油天然气公司的危险盗窃木马Trojan.PWS.Maria.3(Ave Maria)以及通过邮件群发传播的木马Trojan.Nanocore.23。后者具备远程访问权限,可控制被感染计算机。此外,6月份还出现利用木马加密器Trojan.Encoder.858的病毒活动。
6月主要趋势
- 恶意软件传播更广
- 出现通过邮箱群发的盗窃木马和RAT木马
- 木马加密器更为活跃
本月威胁
6月份,Doctor Web病毒实验室对一个罕见的Node.js木马样本Trojan.MonsterInstall进行了研究。该木马在受害者的设备上启动后,会下载并安装运行所需的模块、收集系统信息并将其发送到病毒编写者的服务器。在收到服务器的回应后,木马还会将自身添加到自启动列表并开始开采(挖掘)TurtleCoin电子加密货币。该恶意程序编写者利用自己网页上的热门游戏作弊器来传播木马并感染其他类似网站上的文件。
Doctor Web统计服务器收集的数据结果
本月的威胁:
- Adware.Ubar.13
- 在设备上安装不良软件的Torrent客户端。
- Trojan.InstallCore.3553
- 另一个众所周知的广告软件安装程序,未经用户同意,显示广告并安装其他程序。
- Trojan.Winlock.14244
- 阻止或限制用户访问操作系统及其基本功能。解锁系统需要向木马编写者的账户转账。
- Trojan.Starter.7394
- 一种在设备上启动其他恶意软件的木马。
- Adware.Softobase.12
- 传播过时软件的安装程序。更改浏览器设置。
邮箱流量恶意程序统计
- Exploit.Rtf.CVE2012-0158
- 修改过的Microsoft Office Word文档,利用CVE2012-0158漏洞执行恶意代码。
- W97M.DownLoader.2938
- 利用Microsoft Office文档漏洞的木马下载器家族。用于在受攻击计算机下载其他恶意程序。
- Exploit.ShellCode.69
- 利用漏洞CVE-2017-11882的Microsoft Office Word恶意文件。
本月增加的威胁:
- Trojan.PWS.Maria.3
- 通过恶意Excel文件在邮箱中传播的盗窃木马。利用常见漏洞CVE-2017-11882启动可执行文件。在针对意大利石油天然气企业的网络钓鱼活动中被首次发现。
- Trojan.Nanocore.23
- 一种具备远程访问权限的危险木马。帮助网络犯罪分子控制被感染计算机,包括设备上的摄像头和麦克风(如果有)。
加密器
6月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
Trojan.Encoder.858 — 30.31%Trojan.Encoder.567 — 7.02%Trojan.Encoder.11464 — 6.47%Trojan.Encoder.11539 — 3.33%Trojan.Encoder.18000 — 3.14%Trojan.Encoder.28004 — 2.59%Trojan.Encoder.25574 — 1.66%
Dr.Web Security Space for Windows抵御木马加密器
危险网站
2019年6月份Dr.Web不推荐网站和恶意网站数据库新添151 162个互联网地址。
| 2019.05 | 2019.06 | 增幅 |
|---|---|---|
| + 223,952 | + 151,162 | – 32.5% |
移动恶意软件和不良软件
6月份,Doctor Web公司病毒分析人员再次在Google Play上侦测到大量恶意程序和不良程序,包括在其他应用程序和操作系统界面上显示广告横幅的广告木马
6月份还出现新的木马下载器,例如
6月份最值得注意的移动安全事件有:
- 在Google Play出现新的恶意程序。
6月份移动病毒情况更多详情请参阅移动威胁综述。
03.07 Doctor Web:2019年6月移动设备病毒活动综述
2019.07.03
6月中旬,Doctor Web公司病毒分析人员在Google Play中侦测到恶意程序
6月主要趋势
- Google Play中新增恶意程序和不良程序
本月移动威胁
6月14日,Doctor Web公司对加载可疑网站的木马
单击通知后会在浏览器中弹出一个广告网站。而大多数网站都属于诈骗网站。
- 伪装成知名官方程序,通过Google Play传播;
- 即使将木马删除,木马加载的网站还会发送通知。
Dr.Web安卓反病毒365娱乐网收集的统计数据
Android.Backdoor .682.origin- 一种执行不法分子指令的木马,可用来控制被感染移动设备。
Android.HiddenAds .1424- 用来显示烦人广告的木马。被伪装成热门应用进行传播。
Android.RemoteCode .197.originAndroid.RemoteCode .4411- 旨在加载和执行任意代码的恶意应用。
Android.Triada .3670- 一种执行各种恶意操作的多功能木马。
内嵌在安卓应用的程序模块,用于在移动设备上显示烦人的广告:
- Adware.Zeus.1
- Adware.Jiubang.2
Adware.AdPush .33.origin- Adware.Toofan.1.origin
风险程序平台,使用户无需安装应用即可运行apk文件:
Tool.VirtualApk .1.origin
新威胁:
Adware.Patacore .253- 一种在安卓设备上显示广告横幅的不良模块家族代表。
Google Play中的威胁
除了
病毒分析人员还侦测到多个新的
恶意程序安装启动后,会隐藏自身图标并开始显示广告。
在Google Play上发现的另一个木马被命名为
该应用的首个版本是安全版本,而在随后的1.1.0和1.1.4版本中增添了木马功能。
另一个木马下载器被命名为
6月底,Dr.Web病毒库新增不良程序模块
建议用户安装Dr.Web安卓反病毒软件来保护安卓设备抵御恶意程序和不良程序。
Your Android needs protection.
Use Dr.Web
- The first Russian anti-virus for Android
- Over 140 million downloads—just from Google Play
- Available free of charge for users of Dr.Web home products
03.06 Doctor Web:2019年5月病毒活动综述
2019.06.03
Dr.Web服务器5月份的统计数据显示,与上个月相比,新威胁数量增加了1.49%,侦测到的威胁总量增加了14.51%。恶意软件和不良软件的统计数据说明威胁主要是广告软件和木马安装器。邮箱流量中的大部分威胁仍是利用Microsoft Office文档漏洞的恶意软件,5月份,危险木马
5月主要趋势
- 恶意软件传播更为广泛
- 通过邮箱传播盗窃木马
本月威胁
5月份,Doctor Web公司技术人员发布了对新macOS威胁
Doctor Web统计服务器收集的数据结果
本月的威胁:
- Adware.Softobase.12
- 传播过时软件的安装程序。更改浏览器设置。
- Adware.Ubar.13
- 在设备上安装不良软件的Torrent客户端。
- Trojan.InstallCore.3553
- 另一个众所周知的广告软件安装程序,未经用户同意,显示广告并安装其他程序。
- Trojan.Winlock.14244
- 阻止或限制用户访问操作系统及其基本功能。解锁系统需要向木马编写者的账户转账。
- Trojan.Starter.7394
- 一种在设备启动其他恶意软件的木马。
邮箱流量恶意程序统计
本月的威胁:
- W97M.DownLoader.2938
- 利用Microsoft Office文档漏洞的木马下载器家族。用于在受攻击计算机下载其他恶意程序。
- Exploit.ShellCode.69
- 利用漏洞CVE-2017-11882的Microsoft Office Word恶意文件。
- Exploit.Rtf.CVE2012-0158
- 修改过的Microsoft Office Word文档,利用CVE2012-0158漏洞执行恶意代码。
- Exploit.Rtf.435
- 利用漏洞CVE-2017-11882将Trojan.Fbng.8(FormBook)下载到用户设备的Microsoft Office恶意文档。
- Trojan.PWS.Stealer.19347
- 用于窃取被感染计算机密码及其他机密信息的木马家族。
下列威胁更加活跃:
- Trojan.Inject3.15480
- 又被称为Trojan.Fbng.8(FormBook)的木马,旨在从被感染设备上窃取个人数据,能够从病毒编写者服务器上接收指令。
加密器
5月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
Trojan.Encoder.18000 — 15.38%Trojan.Encoder.858 — 9.89%Trojan.Encoder.11464 — 5.49%Trojan.Encoder.25574 — 5.49%Trojan.Encoder.11539 — 5.27%Trojan.Archivelock — 5.05%Trojan.Encoder.567 — 1.98%
Dr.Web Security Space for Windows抵御木马加密器
危险网站
2019年5月份Dr.Web不推荐网站和恶意网站数据库新添223 952个互联网地址。
| 2019.04 | 2019.05 | 增幅 |
|---|---|---|
| + 345 999 | + 223 952 | - 35.27% |
移动恶意软件和不良软件
5月份,不法分子再度通过Google Play目录传播各种恶意程序。月初Doctor Web公司技术人员发现木马
5月份最值得注意的移动安全事件有:
- 在Google Play出现新的恶意程序。
03.06 Doctor Web:2019年5月移动设备病毒活动综述
2019.06.03
5月份,安卓用户再度受到通过Google Play目录传播的恶意程序的威胁,包括广告木马
5月主要趋势
- 恶意应用在Google Play中传播
本月移动威胁
5月份被侦测到的恶意程序包括
恶意程序安装启动后,会向用户申请成为默认短信管理器。如果用户同意,
恶意应用的特点:
- 针对西班牙语用户;
- 基于SMSdroid开源代码程序创建,病毒编写者向其中添加了木马功能。
Dr.Web安卓反病毒365娱乐网收集的统计数据
Android.Backdoor .682.origin- 一种执行不法分子指令的木马,可用来控制被感染移动设备。
Android.RemoteCode .4411Android.RemoteCode .197.origin- 旨在加载和执行任意代码的恶意应用。
Android.HiddenAds .261.originAndroid.HiddenAds .1102- 用来显示烦人广告的木马。被有时暗中安装到系统目录的恶意程序伪装成热门应用进行传播。
- Adware.Zeus.1
- Adware.Jiubang.2
Adware.AdPush .33.origin- Adware.Toofan.1.origin
- 内嵌在安卓应用的不良程序模块,用于在移动设备上显示烦人的广告。
Tool.VirtualApk .1.origin- 风险程序平台,使用户无需安装应用即可运行apk文件。
广告木马
5月初,Doctor Web公司病毒分析人员在Google Play中发现伪装成音频播放器的木马
恶意程序确实可以用来听音乐,但首次启动后会隐藏自身图标,避免被再次启动。
Google Play目录中不断出现新的恶意应用和不良程序,建议安卓用户安装Dr.Web安卓反病毒软件来保护安卓设备抵御上述威胁。
30.04 Doctor Web:2019年4月移动设备病毒活动综述
2019.04.30
4月份,Doctor Web公司介绍了利用多个安卓系统重大漏洞的木马
4月主要趋势
- 在Google Play目录出现新的恶意应用
- 银行木马正在传播
本月移动威胁
4月初,Doctor Web公司介绍了危险木马
Dr.Web安卓反病毒365娱乐网收集的统计数据
Android.Backdoor .682.origin- 一种执行不法分子指令的木马,可用来控制被感染移动设备。
Android.HiddenAds .1102Android.HiddenAds .261.origin- 用来显示烦人广告的木马。被有时暗中安装到系统目录的恶意程序伪装成热门应用进行传播。
Android.RemoteCode .4411- 一种旨在加载和执行任意代码的恶意应用。
Android.DownLoader .812.origin- 一种下载其他恶意应用的木马。
- Adware.Zeus.1
Adware.AdPush .33.origin- Adware.Toofan.1.origin
- Adware.Jiubang.2
- 嵌入安卓应用的不良程序模块,用于在移动设备上显示烦人的广告。
Tool.VirtualApk .1.origin- 风险程序平台,使用户无需安装应用即可运行apk文件。
安卓银行木马
4月份,安卓用户再次受到银行木马的威胁。月底,Doctor Web公司病毒分析人员发现了恶意程序
这些版本的木马会根据不法分子的指令拦截或发送短信、显示网络钓鱼窗口、拨打电话、利用被感染设备麦克风监听环境。此外,还能够控制智能手机和平板电脑:自行开启Wi-Fi模块、通过移动网络建立互联网连接、锁定屏幕等。
此外,技术人员还在Google Play上发现新的
Google Play中的木马
Google Play目录中不仅出现下载器,还有
这些恶意程序使用多个WebView元素打开隐藏活动,通过其中一个元素加载网站以获取指令,通过其他WebView加载JavaScript脚本和不法分子指定的、模拟用户操作的网站。恶意程序在这些网站打开链接和广告横幅,伪造访问量和点击量。此外,如果受害者的移动运营商支持Wap-Click快速订阅技术,木马还会通过点击网站上专门生成的按钮,为移动设备用户订阅付费服务。木马能够将自身图标隐藏在操作系统主菜单中,增加删除难度。
月底,Dr.Web病毒库添加了
其他威胁
4月份威胁安卓用户的恶意应用还包括木马
木马会向被感染设备通讯录中的联系人发送带有自身副本下载链接的短信,借此扩大被感染设备量。
威胁安卓用户的木马包括通过网站和Google Play官方目录传播的各种恶意应用。建议用户安装Dr.Web安卓反病毒软件来保护智能手机和平板电脑。
Your Android needs protection.
Use Dr.Web
- The first Russian anti-virus for Android
- Over 140 million downloads—just from Google Play
- Available free of charge for users of Dr.Web home products
30.04 Doctor Web:2019年4月病毒活动综述
2019.04.30
4月份,Dr.Web服务器统计数据显示,与3月份相比,新威胁数量减少了39.44%,侦测到的威胁总量下降了14.96%。邮箱流量中大多威胁仍是利用Microsoft Office程序漏洞的恶意软件。恶意软件和不良软件仍保持上个月的趋势:威胁主要是浏览器恶意扩展、不良程序和广告程序。
恶意网站和不推荐网站的数量新增28.04%。其中一个网站利用视频和音频处理程序传播银行木马和盗窃木马,我公司技术人员在月初曾进行过介绍。此外,Doctor Web公司技术人员还提醒用户警惕以国外知名公司地址发送的网络钓鱼邮件。
4月主要趋势
- 恶意软件传播活动减少
- 添加到不推荐网站和恶意网站库的域名增多
本月威胁
Doctor Web公司技术人员提醒用户警惕一个发布视频和音频热门处理软件的官方网站已被入侵:黑客更换了这些网站上的软件下载链接,用户下载软件就会同时下载危险的银行木马Win32.Bolik.2和盗窃木马Trojan.PWS.Stealer(KPOT Stealer)。这些木马的功能是执行网络注入、拦截流量、记录键盘输入、窃取不同信贷机构的银行客户端系统信息。稍后,黑客又用另一恶意软件(Trojan.PWS.Stealer(KPOT Stealer)的一个变种)替换了Win32.Bolik.2。这一木马窃取来自浏览器、Microsoft帐户、多个即时通讯程序及其他程序的信息。
Doctor Web统计服务器收集的数据结果
本月的威胁:
- Adware.Softobase.12
- 传播过时软件的安装程序。更改浏览器设置。
- Adware.Ubar.13
- 在设备上安装不良软件的Torrent客户端。
- Trojan.Starter.7394
- 一种在用户设备启动其他恶意软件的木马。
Adware.Downware.19283 - 通常与盗版内容一同传播的安装程序。安装后能够更改浏览器设置并安装其他不良程序。
邮箱流量恶意程序统计
- Exploit.ShellCode.69
- 一种利用漏洞CVE-2017-11882的Microsoft Office Word恶意文件。
- Exploit.Rtf.CVE2012-0158
- 修改过的Microsoft Office Word文档,利用CVE2012-0158漏洞执行恶意代码。
- JS.DownLoader.1225
- 一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意程序。
- Trojan.Encoder.26375
- 勒索木马家族代表,加密计算机上的文件并要求受害者支付解密。
- W97M.DownLoader.2938
- 利用办公应用漏洞的木马下载器家族。用于在受攻击计算机下载其他恶意程序。
加密器
4月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
Trojan.Encoder.858 — 17.95%Trojan.Encoder.18000 — 14.65%Trojan.Encoder.11464 — 7.69%Trojan.Archivelock — 5.49%Trojan.Encoder.567 — 3.85%Trojan.Encoder.11539 — 3.85%Trojan.Encoder.25574 — 2.75%
Dr.Web Security Space for Windows抵御木马加密器
危险网站
2019年4月份Dr.Web不推荐网站和恶意网站数据库新添345 999个互联网地址。
| 2019.03 | 2019.04 | 增幅 |
|---|---|---|
| + 270 227 | + 345 999 | + 28.04% |
移动恶意软件和不良软件
4月份,Doctor Web公司介绍了利用多个安卓系统重大漏洞的危险木马
技术人员还在Google Play目录侦测到新的恶意程序,包括木马下载器、点击木马以及被命名为Android.PWS.Instagram.4和Android.PWS.Instagram.5的Instagram账户用户名和密码盗取木马。
此外,安卓智能手机和平板电脑的用户继续受到银行木马的威胁,包括
4月份最值得注意的移动安全事件有:
- 在Google Play出现新的恶意程序;
- 银行木马正在传播。
4月份移动病毒情况更多详情请参阅移动威胁综述。
03.04 Doctor Web:2019年3月病毒活动综述
2019.04.03
3月份,Doctor Web公司病毒分析人员对威胁Counter-Strike 1.6玩家的木马进行了研究,目前的主要威胁在3月份与2月份相比出现动态变化。例如,Trojan.MulDrop8.60634的活跃度下降了2/3,而Trojan.Packed.24060和Adware.OpenCandy.243等威胁数量有所增加。此外,添加到Dr.Web不推荐和危险网站数据库中域名数量变少,而Doctor Web公司技术支持部门收到的数据解密申请增多。
3月主要趋势
- 恶意浏览器扩展增多
- 广告软件和不良程序传播更广
- 数据解密申请增多
Threat of the month
3月份,Doctor Web公司分析人员发布了Belonard木马的研究结果,该木马利用Counter-Strike 1.6 Steam客户端零日漏洞,入侵到受害者计算机后会替换客户端文件并创建游戏代理服务器来感染其他用户。Belonard木马创建的CS 1.6恶意服务器占Steam上注册的官方服务器总数的39%。目前,Dr.Web反病毒365娱乐网能够侦测所有Belonard木马模,Dr.Web365娱乐网用户不会再受到威胁。
Doctor Web统计服务器收集的数据结果
本月的威胁:
Trojan.Packed.24060 - 安装恶意浏览器扩展,将搜索引擎结果重定向到其他网站。
- Adware.Softobase.12
- 传播过时软件的安装程序。更改浏览器设置。
Adware.OpenCandy.243 - 用于安装不同软件的应用家族。免费应用程序开发人员使用该家族程序获利。
- Adware.Ubar.13
- 在设备上安装不良软件的Torrent客户端。
- Trojan.Starter.7394
- 一种在用户设备启动其他恶意软件的木马。
下列威胁数量有所减少:
- Trojan.MulDrop8.60634
- 在系统中安装其他木马。所有已安装的组件都包含在木马Trojan.MulDrop中。
- Adware.Downware.19283
- 通常同盗版内容一同传播的安装程序。安装后能够更改浏览器设置并安装其他不良程序。
邮箱流量恶意程序统计
- Exploit.ShellCode.69
- 一种利用漏洞CVE-2017-11882的Microsoft Office Word恶意文件。
- W97M.DownLoader.2938
- 利用办公应用漏洞的木马下载器家族。用于在受攻击计算机下载其他恶意程序。
- Exploit.Rtf.CVE2012-0158
- 修改过的Microsoft Office Word文档,利用CVE2012-0158漏洞执行恶意代码。
Trojan.SpyBot.699 - 一种多模块银行木马,网络犯罪分子利用这一木马下载各种应用并在被感染设备上启动,执行收到的指令。该木马旨在从银行账户盗取资金。
- JS.DownLoader.1225
- 一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意程序。
Trojan.PWS.Stealer.23680 - 用于窃取被感染计算机密码及其他机密信息的木马家族。
加密器
3月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
Trojan.Encoder.858 — 28,39%;Trojan.Encoder.18000 — 9,54%;Trojan.Encoder.27210 — 4,25%;Trojan.Encoder.11464 — 4,14%;Trojan.Encoder.11539 — 4,14%;Trojan.Encoder.567 — 2,76%;Trojan.Archivelock — 2,34%.
Dr.Web Security Space for Windows抵御木马加密器
危险网站
2019年3月份Dr.Web不推荐网站和恶意网站数据库新添270 227个互联网地址。
| 2019.02 | 2019.03 | 增幅 |
|---|---|---|
| + 288 159 | + 270 227 | - 6,63% |
移动恶意软件和不良软件
3月份,技术人员在Google Play目录中侦测到新的恶意程序,包括伪装成在线赚钱程序进行传播的
同时技术人员还发现新木马
此外,不法分子仍继续传播银行木马。我公司在3月下旬介绍过其中一个银行木马,该恶意程序又称Flexnet,盗取用户手机账户和银行账户中的钱财。
3月末,病毒分析人员发布了能够绕过Google Play服务器下载插件的常用安卓浏览器UC Browser的漏洞信息,不法分子能够利用这一功能传播木马。
3月份最值得注意的移动安全事件有:
- 在UC Browser浏览器中发现漏洞;
- 恶意程序在Google Play进行传播;
- 银行木马正在传播。
3月份移动病毒情况更多详情请参阅移动威胁综述.
03.04 Doctor Web:2019年3月移动设备病毒活动综述
2019.04.03
3月份,Doctor Web公司发布在一个可以从第三方服务器下载新模块的移动浏览器UC Browser存在漏洞。不法分子能够利用这一功能感染安卓智能手机和平板电脑。此外,病毒分析人员还与广大用户分享了有关木马Flexnet的信息,此木马能从银行卡和手机账户窃取资金。3月份还在Google Play目录中侦测到新的恶意应用。
3月主要趋势
- 在UC Browser浏览器中发现漏洞
- 银行木马正在传播
- 在Google Play目录出现新的恶意程序
本月移动威胁
3月末,Doctor Web公司介绍了病毒分析人员在安卓浏览器UC Browser侦测到的漏洞。该程序违反官方目录的规则,绕过Google Play服务器下载补充插件。不法分子能够干预插件下载进程,使浏览器下载并启动恶意文件。受此威胁的移动设备用户超过5亿。这一漏洞详情请参阅我公司病毒库。
Dr.Web安卓反病毒365娱乐网收集的统计数据
Android.Backdoor .682.originAndroid.Backdoor .2080- 一种执行不法分子指令的木马,可用来控制被感染移动设备。
Android.RemoteCode .197.origin- 一种旨在加载和执行任意代码的恶意应用。
Android.HiddenAds .659Android.HiddenAds .261.origin- 用来显示烦人广告的木马。被有时暗中安装到系统目录的恶意程序伪装成热门应用进行传播。
- Adware.Zeus.1
- Adware.Jiubang.2
- Adware.Toofan.1.origin
- Adware.Gexin.3.origin
- 内嵌到安卓应用的不良程序模块,用于在移动设备显示烦人的广告。
Tool.VirtualApk .1.origin- 风险程序平台,使用户无需安装应用即可运行apk文件。
安卓银行木马
不法分子继续传播根据
Google Play中的威胁
3月份,我公司技术人员再次在Google Play上侦测到各种恶意程序,包括加载诈骗网站的木马
此外,我公司病毒分析人员还侦测到新的
恶意程序安装启动后,会隐藏自身图标,在程序和操作系统界面上方不断显示广告,使安卓设备难以正常运行。
安卓用户受到通过恶意网站或Google Play软件官方目录传播的各种木马的威胁。建议用户安装Dr.Web安卓反病毒软件来保护智能手机和平板电脑。
Your Android needs protection!
Use Dr.Web
- First Russian anti-virus for Android
- Over 140 million downloads—just from Google Play!
- Available free of charge for users who purchase Dr.Web home products
01.03 Doctor Web:2019年2月移动设备病毒活动综述
2019.03.01
对于安卓用户来说,2月份是一个很不平静的月份。2月中旬,Doctor Web公司技术人员在Google Play目录中侦测到大约40个
2月主要趋势
- 在Google Play目录出现新的恶意程序
本月移动威胁
2月份,Doctor Web公司病毒分析人员在Google Play目录中发现39个
此类木马的实际功用是遮盖其他程序界面显示广告横幅,甚至是覆盖操作系统窗口,且广告不断显示,致使用户无法使用设备。
此类恶意应用详情请参阅我公司网站发布的新闻。
Dr.Web安卓反病毒365娱乐网收集的统计数据
Android.Backdoor .682.originAndroid.Backdoor .2080- 一种执行不法分子指令的木马,可用来控制被感染移动设备
Android.RemoteCode .197.origin- 一种旨在加载和执行任意代码的恶意应用。
Android.HiddenAds .261.originAndroid.HiddenAds .659- 用来显示烦人广告的木马。被有时暗中安装到系统目录的恶意程序伪装成热门应用进行传播。
- Adware.Zeus.1
Adware.Patacore .1.originAdware.Patacore .168- Adware.Jiubang.2
- Adware.Toofan.1.origin
- 内嵌在安卓应用的不良程序模块,用于在移动设备上显示烦人的广告。
Google Play中的威胁
技术人员不仅在Google Play上发现
此外,安卓用户还遭到下载其他恶意程序的
另一个名为
此外,内嵌不良模块
其他隐藏在多个游戏中的不良广告程序按照Dr.Web分类被分别命名为
Google Play目录中出现新的恶意应用和不良程序,建议安卓用户只从知名且值得信赖的来源下载程序,同时还应注意其他用户的评论,并安装Dr.Web安卓反病毒软件来保护智能手机和平板电脑。
Your Android needs protection!
Use Dr.Web
- First Russian anti-virus for Android
- Over 140 million downloads—just from Google Play!
- Available free of charge for users who purchase Dr.Web home products
01.03 Doctor Web:2019年2病毒活动综述
2019.03.01
2月份,Dr.Web服务器收集的统计数据显示,与1月份相比,新威胁的数量下降了9.73%。与2018年12月相比,病毒软件的活跃度也没有大幅提高,但技术人员还是发现有一些威胁传播呈上升趋势。例如,JS.Miner.28的活跃程度1月份有所增强,2月份也继续增长,并超过了同类病毒JS.Miner.11。Trojan Trojan.Starter.7394与1月份相比增长了14.29%,而Trojan.DownLoader26.28109的活跃度则下降了2/3。此外,添加到不推荐和恶意网站数据库的域名数量下降了1.68%,而Doctor Web公司技术支持部门收到的解密申请也有所减少。
2月主要趋势
- 邮件威胁有所减少
- 不法分子开始使用广告软件、torrent客户端和不良程序
Doctor Web统计服务器收集的数据结果
本月的威胁:
- Adware.Softobase.12
- 传播过时软件的安装程序。更改浏览器设置。
- Adware.Ubar.13
- 在设备上安装不良软件的Torrent客户端。
- Trojan.Starter.7394
- 一种在用户设备启动其他恶意软件的木马。
- Adware.Downware.19283
- 通常同盗版内容一同传播的安装程序。安装后能够更改浏览器设置并安装其他不良程序。
- Trojan.MulDrop8.60634
- 在系统中安装其他木马。所有已安装的组件都包含在木马Trojan.MulDrop中。
下列威胁数量有所减少:
Trojan.Encoder.11432 - 又被称为WannaCry。通过加密阻止用户访问信息。解锁需要向病毒编写者的账户转账。2017年5月在全球范围内大肆感染设备。
- Trojan.DownLoader26.28109
- 未经用户同意下载并执行恶意程序。
邮箱流量恶意程序统计
- JS.DownLoader.1225
- 由JavaScript语言编写的恶意脚本家族。在计算机下载并安装其他恶意程序。
- W97M.DownLoader.2938
- 利用办公应用漏洞的木马下载器家族。用于在受攻击计算机下载其他恶意程序。
- Exploit.ShellCode.69
- 另一种利用漏洞CVE-2017-11882的Microsoft Office Word恶意文件。
- Exploit.Rtf.CVE2012-0158
- 修改过的Microsoft Office Word文档,利用CVE2012-0158漏洞执行恶意代码。
- JS.Miner.28
- 名为CryptoLoot的挖矿木马,是一种使用JavaScript语言编写的脚本。针对浏览器中的隐藏挖掘木马。可替换CoinHive。
Trojan.PWS.Stealer.23680 - 用于窃取被感染计算机密码及其他机密信息的木马家族。
加密器
2月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
Trojan.Encoder.858 — 31.39%;Trojan.Encoder.18000 — 10.18%;Trojan.Encoder.11464 — 4.67%;Trojan.Encoder.11539 — 4.67%;Trojan.Encoder.567 — 2.34%;Trojan.Encoder.25814 — 2.34%.
Dr.Web Security Space for Windows抵御木马加密器
危险网站
2019年2月份Dr.Web不推荐网站和恶意网站数据库新添288 159个互联网地址。
| 2019.01 | 2019.02 | 增幅 |
|---|---|---|
| + 293 012 | + 288 159 | -1.68% |
移动恶意软件和不良软件
2月份,Doctor Web公司技术人员侦测到大量针对安卓系统的恶意程序和不良程序。 2月中旬,病毒分析人员记录到不法分子为传播木马
2月份,病毒库中添加了多个新的
此外,病毒编写者还开始传播
2月份最值得注意的移动安全事件有:
- 恶意程序在Google Play中进行传播。
2月份移动病毒情况更多详情请参阅移动威胁综述。
01.02 Doctor Web:2019年1病毒活动综述
2019.02.01
2018年信息安全事件的发展跌宕起伏,但在年底我们终于迎来了期待已久的平静。网络犯罪分子虽没有完全蛰伏,也降低了活跃度。但尽管新年相对平静,我公司的统计数据表明,1月份的一些病毒趋势仍需重视。
1月主要趋势
- 感染加密器的系统增多
- 不法分子开始利用Microsoft Office漏洞
- 广告软件传播更广
本月中旬,一个伪装成普通程序进行传播的木马开始攻击加密电子货币的持有者。同上个月相比,感染Trojan.Winlock.14244的设备数量增加了28%。此外,不法分子通过邮箱发送的利用Microsoft Office漏洞的恶意文件超过50%。
本月威胁
1月份,Doctor Web公司病毒分析人员在加密电子货币汇率监控工具中发现了一个木马。这一木马随工具一同传播,并在被感染的设备上安装其他木马。黑客能够利用这些程序窃取用户的个人信息,包括加密电子货币钱包的密码。
Doctor Web统计服务器收集的数据结果
本月增多的威胁:
- Trojan.Winlock.14244
- 阻止或限制用户访问操作系统及其基本功能。解锁系统需要向木马编写者的账户转账。
- Adware.Downware.19283
- 通常同盗版内容一同传播的安装程序。安装后能够更改浏览器设置并安装其他不良程序。
- Trojan.DownLoader26.28109
- 未经用户同意下载并执行恶意程序。
Trojan.Encoder.11432 - 又被称为WannaCry。通过加密阻止用户访问信息。解锁需要向病毒编写者的账户转账。2017年5月在全球范围内大肆感染设备。
下列威胁数量有所减少:
- Trojan.Starter.7394
- 一种在用户设备启动其他恶意软件的木马。
- Trojan.MulDrop8.60634
- 在系统中安装其他木马。所有已安装的组件都包含在木马Trojan.MulDrop中。
- Trojan.Zadved.1313
- 一种广告软件。替换搜索结果,将用户重定向到广告网站或显示烦人的广告。
邮箱流量恶意程序统计
下列木马的感染数量增多:
- JS.DownLoader.1225
- 由JavaScript语言编写的恶意脚本家族。在计算机下载并安装其他恶意程序。
- Exploit.Rtf.CVE2012-0158
- 修改过的Microsoft Office Word文档,利用CVE2012-0158漏洞执行恶意代码。
- W97M.DownLoader.2938
- 利用办公应用漏洞的木马下载器家族。用于在受攻击计算机下载其他恶意程序。
- Exploit.ShellCode.69
- 另一种利用漏洞CVE-2017-11882的Microsoft Office Word恶意文件。
Trojan.PWS.Stealer.23680 - 用于窃取被感染计算机密码及其他机密信息的木马家族。
下列威胁更加活跃:
Trojan.Nanocore.23 - 感染这种危险的远程访问木马的设备数量几乎是上个月的4倍。黑客能够利用这一木马远程控制被感染计算机,包括打开设备摄像头或麦克风(如果有)。
- JS.Miner.28
- 用JavaScript语言编写的脚本。用于浏览器中的隐藏挖掘木马。可替换CoinHive。
此类恶意软件有所减少:
Trojan.Fbng.8 - 又被称为FormBook的木马。旨在从被感染设备窃取个人信息。能够从病毒编写者的服务器接收指令。
Trojan.Encoder.26375 - 一种勒索木马家族代表。加密计算机文件并要求受害者支付解密。
- JS.Miner.11
- 一组由JavaScript语言编写的脚本。同样用于浏览器中的隐藏挖掘木马。使用热门挖矿程序CoinHive。
加密器
1月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
Trojan.Encoder.858 — 26.32%Trojan.Encoder.11464 — 12.63%Trojan.Encoder.11539 — 7.72%- Trojan.Encoder.25574 — 1.58%
Trojan.Encoder.567 — 5.96%Trojan.Encoder.5342 — 0.88%
Dr.Web Security Space for Windows抵御木马加密器
危险网站
2019年1月份Dr.Web不推荐网站和恶意网站数据库新添293 012个互联网地址。
| 2018.12 | 2019.01 | 增幅 |
|---|---|---|
| + 257 197 | + 293012 | +13.93% |
移动恶意软件和不良软件
1月份,技术人员在Google Play目录中侦测到大量恶意程序,包括将安卓银行木马下载到移动设备的
1月份最值得注意的移动安全事件有:
- 在Google Play出现大量新的恶意程序;
- 一种间谍木马正在传播。
1月份移动病毒情况更多详情请参阅移动威胁综述。
01.02 Doctor Web:2019年1月移动设备病毒活动综述
2019.02.01
1月份,安卓用户受到了大量恶意程序的威胁。1月初,Doctor Web公司病毒分析人员对一种进行网络间谍活动的
1月主要趋势
- Google Play中出现恶意程序
- 一种用于从事间谍活动的安卓木马正在传播
本月移动威胁
1月初添加到Dr.Web病毒库的间谍木马
Dr.Web安卓反病毒365娱乐网收集的统计数据
-
Android.Backdoor .682.origin - 一种执行不法分子指令的木马程序,可用来控制被感染移动设备。
-
Android.RemoteCode .197.origin - 一种旨在加载和执行任意代码的恶意应用。
Android.HiddenAds .261.originAndroid.HiddenAds .659- 用来显示烦人广告的木马。被有时暗中安装到系统目录的恶意程序伪装成热门应用进行传播。
Android.Mobifun .4- 一种下载各种应用的木马。
- Adware.Zeus.1
Adware.AdPush .29.originAdware.Patacore .1.originAdware.Patacore .168- Adware.Jiubang.2
- 嵌入到安卓应用并用于在移动设备显示烦人广告的不良程序模块。
Google Play中的威胁
除了
此外,病毒分析人员对大量木马下载器进行了研究。网络犯罪分子将其伪装成普通程序,如货币转换器、官方银行应用或其他软件。这些木马被命名为
其中一个银行木马
1月底,Doctor Web公司技术人员还发现新的
Doctor Web公司技术人员继续监控移动病毒情况,并及时将病毒记录添加到Dr.Web病毒库,侦测、删除恶意程序和不良程序。正因如此,安装有Dr.Web安卓反病毒软件的智能手机和平板电脑可得到可靠的保护。
Your Android needs protection!
Use Dr.Web
- First Russian anti-virus for Android
- Over 140 million downloads—just from Google Play!
- Available free of charge for users who purchase Dr.Web home products
09.01 Doctor Web:2018年12病毒活动综述
2018.12.28
2018年最后一个月没有出现重大的信息安全事件。同以往一样,危险的JavaScript脚本仍然是电脑和邮箱常见的恶意程序,其中大部分用于在被感染的设备下载安装其他恶意软件或利用被感染计算机的硬件挖掘加密电子货币。与11月一样,在硬盘发现的威胁经常是多组件银行木马
12月主要趋势
- 多种恶意脚本正在传播
- 出现新的安卓木马
Doctor Web统计服务器收集的数据结果
- JS.DownLoader
- 一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意程序。
Trojan.SpyBot.699 - 一种多模块银行木马,可在被感染设备下载并启动各种应用,执行接收到的指令。目的是从银行账号窃取资金。
- JS.Miner
- 用于暗中获取(采集)加密电子货币的JavaScript脚本家族。
- VBS.DownLoader
- 用VBS语言编写的恶意脚本家族,下载并在计算机安装其他恶意程序。
邮箱流量恶意程序统计
- JS.DownLoader
- 一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意程序。
Trojan.SpyBot.699 - 一种多模块银行木马,可用来在被感染设备下载并启动各种应用,执行接收到的指令。旨在从银行账号窃取资金。
W97M.DownLoader - 利用办公应用漏洞的木马下载器家族。功能是将其他恶意程序下载到被攻击计算机。
- JS.Miner
- 用于暗中获取(采集)加密电子货币的JavaScript脚本家族。
加密器
12月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
Trojan.Encoder.858 — 申请的22.34%;Trojan.Encoder.11464 — 申请的11.71%;Trojan.Encoder.11539 — 申请的10.17%;- Trojan.Encoder.25574 — 申请的5.08%;
Trojan.Encoder.567 — 申请的4.93%;Trojan.Encoder.5342 — 申请的1.54%。
Dr.Web Security Space for Windows抵御木马加密器
危险网站
2018年12月份Dr.Web不推荐网站和恶意网站数据库新添257 197个互联网地址。
| 2018.11 | 2018.12 | 增幅 |
|---|---|---|
| + 231 074 | + 257 197 | +11.3% |
移动恶意软件和不良软件
12月份,Doctor Web公司技术人员在Google Play目录侦测到针对巴西用户的恶意应用
12月份最值得注意的移动安全事件有:
- 一种攻击巴西用户的银行木马正在传播;
- 出现新版本的危险间谍程序;
- 在Google Play出现大量恶意程序和不良程序。
12月份移动病毒情况更多详情请参阅移动威胁综述。
2018
28.12 Doctor Web:2018年病毒活动综述
2018.12.28
2018年值得注意的信息安全事件之一是用于暗中挖掘加密电子货币的挖矿木马的广泛传播。此类恶意程序不仅攻击Microsoft Windows用户,还攻击Linux用户。加密被感染设备文件并要求用户支付解密的加密木马仍广为传播:2月份、4月份Doctor Web公司技术人员侦测到两个新的加密木马,其中一个木马将文件加密后,受害者即使付款也无法恢复受损文件。
2018年3月底,我公司技术人员对在YouTube网页上传播的木马
Trojan.PWS.Steam.13604
从Steam游戏平台窃取用户个人信息。10月份,Doctor Web公司技术人员对一个网络诈骗分子从事的加密电子货币诈骗活动进行了详细研究,诈骗分子骗取了互联网用户数万美元。2018年网络犯罪分子不断通过电子邮件群发骚扰用户,诱导用户打开虚假网站。年初不法分子以Mail.Ru Group的名义发送邮件,骗取用户的用户名和密码,在春天群发邮件,邀请用户获取现金奖励。夏天垃圾邮件发送者锁定域名管理员,冒充区域网络信息中心(RU-CENTER)注册会员代表,要求潜在受害者为域名续订服务付款。
在2018年,安卓移动设备用户仍然是病毒编写者的攻击目标。早在1月份,信息安全人员就在Google Play目录中发现被感染游戏,其总下载量超过4,500,000次。不久之后,又发现一种安卓挖矿木马,可感染8%的智能设备(如电视、流媒体盒、路由器和其他物联网设备)。
在过去的一年中,病毒分析人员一再提醒用户要注意安卓银行木马的传播,此类木马功能非常广泛。分析人员还侦测到不法分子利用一些伪造的安卓应用进行网络钓鱼,有些安卓木马为受害者订阅付费服务,有些利用隐形广告获利,还有一些将其他恶意软件下载到被感染设备。
2018年主要趋势
- 利用被感染计算机硬件暗中获取电子加密货币的挖矿木马广为传播
- 出现针对OS Linux和物联网的新恶意程序
- Google Android移动平台中的木马增多
2018年重要事件
2018年2月,技术人员侦测到一个新的加密木马,将其命名为Trojan.Encoder.24384并添加到Dr.Web病毒库。此恶意程序能够收集在被感染设备上运行的反病毒365娱乐网信息,并根据病毒编写者事先制定的列表终止正在运行的应用程序,还能够加密固定磁盘、可移动磁盘和网络磁盘上的文件(服务文件夹和系统文件夹除外)。
另一个被命名为
而该恶意程序的代码中并非仅有这一处错误:病毒编写者的另一个错误使其无法对被这一木马加密的文件进行解密。这再一次证明了及时备份所有重要文件的重要性。
3月下旬,Doctor Web公司分析人员对间谍软件
一个多月后,技术人员查出这些木马的编写者。该恶意程序及变种会按照事先制定的列表窃取基于Chromium的浏览器保存的密码和cookies文件、通讯软件Telegram及FileZilla FTP客户端的信息、图像和办公文件。其中一个变种通过Telegram各种途径发布大量广告。用来保存被盗文件压缩包的云存储的用户名和密码被嵌入到木马,Doctor Web公司病毒分析人员据此查出这些恶意程序的编写者及所有客户。该事件的更多调查信息请参阅我公司发布的文章。
分析人员于5月末公布了另一项调查结果,主要针对窃取Steam游戏平台用户个人信息的间谍木马。该木马编写者同时使用多种非法获利的手段,如轮盘游戏诈骗(轮盘游戏是一种用户用来出售各种游戏物品的拍卖活动,诈骗分子创建的机器人程序将始终胜出)以及恶意程序租赁。网络犯罪分子还利用社交工程方法和虚假网站传播木马。
间谍软件
夏天,Doctor Web公司分析人员提醒用户出现了挖矿木马Trojan.BtcMine.2869,该木马的传播方式与臭名昭着的加密木马Trojan.Encoder.12544(又被称为Petya、Petya.A、ExPetya或WannaCry-2)相同,利用进行网吧自动化处理的软件“电脑大厅”的更新功能入侵受害者的计算机。从2018年5月24日到7月4日,该挖矿木马感染了2,700多台计算机。
9月份,Doctor Web公司技术人员发现银行木马
当用户在浏览器窗口中打开巴西各金融机构的网上银行网站时,该木马会暗中替换该网页,向受害者显示虚假的登陆页面。有时还会要求指定银行发送给用户的短信验证码,随后将此信息发送给不法分子。我公司病毒分析人员已发现超过340个独特的Trojan.PWS.Banker1.28321样本以及129个不法分子互联网资源的域名和IP地址。该恶意程序的更多信息请参阅我公司网站发布的综述。
我公司分析人员于10月中旬针对电子加密货币市场中网络犯罪分子的活动进行了调查。不法分子利用各种恶意软件(如Eredel、AZORult、Kpot、Kratos、N0F1L3、ACRUX、Predator The Thief、Arkei、Pony等等)并为达目的创建了多个复制互联网资源的网络钓鱼网站,包括电子加密货币交易假网站、号称设备出租价格优惠的Dogecoin币采矿池以及为查看互联网网站发放奖励的联盟程序。
病毒编写者还利用在线抽彩获利,奖品是一定数量的Dogecoin币。实际上在这种抽彩中第三方参与者无法获胜,只有组织者才能获得奖励。网络犯罪分子还利用传统网络钓鱼手段和联盟程序,建议用户观看带有广告的网页(伪装成所需插件从网络犯罪分子网站下载木马)从而获取Dogecoin币。此类欺诈活动的更多详情请参阅我公司发布的文章。
11月,技术人员检测到用于伪造网站流量的恶意程序 2018年最常见的Linux恶意程序是用来获取电子加密货币的挖矿木马。Doctor Web公司病毒分析人员于2018年5月初发现挖矿木马对Linux服务器的首次攻击。网络犯罪分子通过SSH协议连接服务器,使用词典(bruteforce)选配用户名和密码,登录到服务器后会禁用控制防火墙的iptables工具,随后不法分子将挖矿工具和配置文件下载到被感染的服务器,并使用恶意程序获取电子加密货币。8月份,病毒分析人员侦测到用Go语言编写的点滴木马 我公司技术人员对下载该恶意程序的服务器进行了研究之后,又发现了功能类似的 Windows木马。此事件的更多信息请参阅我公司网站发布的文章。 11月份出现了一个名为 Doctor Web公司技术人员定期将新的风险网站和不推荐网站地址添加到父母(办公)控制和反病毒SpIDer Gate数据库,包括传播恶意软件的欺诈钓鱼资源和网站。2018年的添加情况如下图所示: 网络诈骗是一种常见的犯罪行为。2018年网络犯罪分子仍然非常活跃。3月初出现大量以Mail.Ru Group公司名义群发的网络钓鱼邮件。不法分子想要获取Mail.Ru邮件服务器用户的账号信息,为此网络犯罪分子使用一个虚假网站模仿常用的邮箱服务。 5月份,我公司向用户介绍了另一种网络诈骗,不法分子承诺提供丰厚的社会津贴,通过垃圾邮件和短信群发吸引受害者打开专门创建的网站,称受害者可以拿回多付的水电费、医疗费或保险费。用户为了获取赔偿,需要向诈骗分子转一小笔费用,当然受害者在交钱后不会得到任何补偿。 从2018年2月到5月,Doctor Web公司技术人员发现超过110个网络犯罪分子创建的类似网站。8月份,不法分子向享有“区域网络信息中心”(RU-CENTER)注册会员服务的域名管理员群发邮件,表示授权即将结束,建议为域名续订服务进行付款,但不支持向RU-CENTER官方银行转账,而是需要转到电子支付系统Yandex.Money个人钱包。 犯罪分子经常以知名公司的名义群发电子邮件,甚至伪装成热门网络商店Aliexpress。犯罪分子向网站用户发送消息,邀请他们访问一个提供大量优惠和礼品的网络商店。 这一商店实际上是一个链接到多家高价出售不合格商品的诈骗交易平台的网页。目前尚不确定不法分子是如何拿到Aliexpress客户信息的。 2018年,安卓用户受到大量恶意程序的攻击。包括试图窃取俄罗斯、土耳其、巴西、西班牙、德国、法国等国家用户的资金的银行木马。春季,我公司病毒分析人员发现木马 11月份,Doctor Web公司技术人员对攻击欧洲安卓用户的恶意程序 12月份出现攻击巴西用户的木马 2018年病毒编写者大力传播基于木马 不法分子利用木马下载器 2018年,安卓用户再次成为 该家族的另一个木马被命名为 网络犯罪分子还使用其他恶意程序进行非法获利,所使用的 秋天,Doctor Web公司技术人员侦测到剪贴板木马 病毒编写者使用大量木马进行诈骗。称可以通过调查获取奖励来吸引受害者是2018年网络犯罪分子使用的一个主要诈骗手段。此类木马启动后会在屏幕上显示不法分子创建的网页,要求潜在受害者回答几个问题,并进行某种验证或其他形式的付款以便获取奖励,但在被感染设备用户转账后将不会得到任何奖励。不法分子还经常使用加载网站广告并自动点击的恶意程序。这些事件的更多详情请参阅我公司发布的相关文章。 还有一种诈骗是为安卓用户订阅高价服务。 2018年出现新的安卓固件感染。3月份我公司介绍了其中一起感染事件。病毒分析人员在40多款移动设备的固件中发现木马Trojan Android.Triada.231。不法分子将此恶意程序嵌入到一个系统库源代码。 尽管2018年没有出现严重的病毒事件,但未来很有可能会涌现大量威胁。同以往一样,使用各种编程语言编写的恶意脚本将继续增多。此类脚本不仅针对Windows设备,还会攻击其他系统平台,尤其是Linux系统平台。 此外,还会出现利用被感染设备的硬件挖掘电子加密货币的新挖矿木马。不法分子对物联网的兴趣也不会减弱:目前已经出现针对智能设备的木马,在不久的将来一定会更多。 我们有充分的理由相信,2019年病毒编写者将创建并传播新的安卓木马。 去年的趋势表明,移动恶意程序主要是广告木马和银行木马。 同时诈骗邮件的群发数量应该不会减少:网络诈骗分子将想出更多新的手段欺骗互联网用户。不管怎样,2019年一定会出现新的信息安全威胁。这意味着,为我们的设备提供可靠和最新的反病毒保护意义重大。
2018年最常见的加密器:
Dr.Web Security Space for Windows抵御木马加密器
Linux恶意程序
危险网站和不推荐网站
网络诈骗
保护移动设备
前景和发展趋势
28.12 Doctor Web:2018年12月移动设备病毒活动综述
2018.12.28
12月初,巴西安卓用户受到一种通过Google Play传播的银行木马的攻击。此外,技术人员还在这一官方安卓应用商店侦测到了其他恶意应用。12月底,Doctor Web公司技术人员发现一种新版商业间谍程序,该程序能够收集大量机密信息。
12月主要趋势
- 一种针对巴西用户的危险银行木马正在传播
- 出现一种监视移动设备用户的新版本风险程序
- Google Play中出现大量恶意应用和不良应用
本月移动威胁
12月初,病毒分析人员对一种攻击巴西信贷机构客户的银行木马
该木马更多详情请参阅Doctor Web公司网站发布的新闻。
Dr.Web安卓反病毒365娱乐网收集的统计数据
Android.Backdoor .682.origin- 一种执行不法分子指令的木马程序,可用来控制被感染移动设备。
Android.HiddenAds .261.originAndroid.HiddenAds .659- 用来显示烦人广告的木马。被有时暗中安装到系统目录的恶意程序伪装成热门应用进行传播。
Android.DownLoader .573.origin- 一种下载其他恶意应用的木马。
Android.Mobifun .4- 一种下载各种应用的木马。
- Adware.Zeus.1
Adware.Patacore .1.originAdware.Adpush .2514- Adware.AdPush.29.origin
- Adware.Jiubang.2
- 嵌入到安卓应用的不良程序模块,用于在移动设备上显示烦人的广告。
Google Play中的危险
本月技术人员在Google Play侦测到大量恶意程序和不良程序,包括伪装成游戏和一般应用程序进行传播的广告木马
此外,技术人员还发现内嵌不良模块
不法分子再次开始传播诈骗应用。木马
此外,病毒分析人员还侦测到木马
网络间谍木马
技术人员还在12月份发现一种监视安卓用户的新版商业间谍软件
安卓用户受到多种恶意程序和不良程序的威胁,这些程序通过网站或Google Play目录传播。此外,不法分子一旦获取移动设备的访问权限,就可以自行安装恶意程序。Doctor Web公司建议用户安装Dr.Web安卓反病毒软件来保护智能手机和平板电脑
Your Android needs protection!
Use Dr.Web
- First Russian anti-virus for Android
- Over 140 million downloads—just from Google Play!
- Available free of charge for users who purchase Dr.Web home products
28.12 Doctor Web:2018年移动设备病毒活动综述
2018.12.28
2018年安卓用户仍然遭受大量恶意程序和不良程序的攻击,其中许多程序利用Google Play官方应用商店进行传播。同时,2017年出现的各种木马伪装和隐藏手段使用更加频繁,增加了木马侦测难度。
智能手机和平板电脑用户在2018年面临的主要威胁之一是攻击全球信贷机构客户的安卓银行木马。此外,能够从互联网下载和运行任意代码的恶意程序也非常危险。
病毒编写者传播大量木马进行诈骗活动,并利用其他恶意应用获取非法收入。此外,不法分子再次试图“移动”挖掘电子加密货币,还使用剪贴板木马暗中替换安卓设备剪贴板中的电子钱包号码。
智能手机和平板电脑生产阶段出现固件感染的问题仍然存在。2018年春,Doctor Web公司病毒分析人员发现一个木马被植入到安卓映像,感染了40多款移动设备。
用户在2018年还不断遭受间谍木马的威胁。
2018年主要趋势
- 多个新木马和不良程序进入Google Play目录
- 病毒编写者增加了恶意程序的侦测难度
- 安卓银行木马攻击全球信贷机构的客户
- 木马利用安卓辅助功能自动执行恶意活动
- 暗中替换剪贴板中电子钱包号码的点击木马广为传播
重要事件
年初,信息安全人员发现挖矿木马
3月份,Doctor Web公司表示在超过40个型号的安卓智能手机和平板电脑固件中检测到木马
不法分子越来越热衷使用各种方法来防止恶意程序和不良程序被发现。2018年这种趋势更加明显。利用下载器是防止恶意程序被发现的一种常用方法。木马等危险软件利用下载器可防止被反病毒365娱乐网发现,减少潜在受害者的怀疑。网络犯罪分子使用此类下载器可以传播各种恶意软件(如间谍木马)。
4月份在Google Play目录出现下载器
8月份,我公司技术人员在Google Play上侦测到下载间谍木马
用来传播安卓银行木马的木马下载器越来越多。7月份,在Google Play上出现被伪装成财务应用的
随后在Google Play上出现多个同类恶意程序。其中一个命名为
其他恶意软件也利用下载器入侵移动设备。10月份,病毒分析人员在Google Play 目录侦测到伪装成VPN客户端进行传播的木马
多组件恶意应用也越来越多。此类应用的每个模块都负责特定功能,帮助不法分子在必要时扩展木马功能。这样的运行机制增加了木马在被感染移动设备上的侦测难度。病毒编写者可以快速更新这些插件并添加新插件,减少木马主体功能,使其更为隐蔽。
Doctor Web公司技术人员在2月份发现了类似“组合木马”,将其命名为
模块在被解密并启动后会下载隐藏另一个插件的图像,该插件会下载并启动木马
带有
关于此木马的更多详情请参阅我公司网站发布的文章。
Android.RemoteCode.152.origin也是一种能够加载并执行任意代码的多组件木马,用户安装已超过6,500,000。该恶意程序能暗中下载并启动辅助模块(包括广告插件)。木马利用这些模块创建隐形广告横幅并进行点击,为病毒编写者赚取利润。
8月份,Doctor Web公司病毒分析人员对木马
用户将电子钱包号码复制到剪贴板时,Android.Clipper.1.origin会对其进行拦截并发送到控制服务器。之后会接收不法分子给出的钱包号码,替换剪贴板上的号码。如果用户没发现号码被替换,钱就会转到网络犯罪分子的账户。Android.Clipper.1.origin更多详情请参阅Doctor Web公司网站发布的新闻。
移动设备病毒概况
根据Dr.Web安卓反病毒365娱乐网侦测统计的数据显示,2018年安卓设备中最常见的恶意程序是广告木马、下载危险软件和多余软件的恶意程序以及按照不法分子的指令执行各种操作的木马。
Android.Backdoor .682.origin- 一种按照网络犯罪分子指令执行恶意操作的木马。
Android.Mobifun .4- 一种下载各种应用的木马。
Android.HiddenAds - 用来显示烦人广告的木马家族代表。
Android.DownLoader .573.origin- 一种下载病毒编写者指定应用的恶意程序。
Android.Packed .15893- 受打包程序保护的安卓木马侦测器。
Android.Xiny .197- 一种主要用于下载并卸载应用的木马。
- Android.Altamob.1.origin
- 一种下载病毒编写者指定应用的恶意程序。
2018年,广告模块属于在安卓设备上传播最广的不良/风险程序。此外,智能手机和平板电脑中还出现用来下载并安装各种软件的程序。
- Adware.Zeus.1
- Adware.Altamob.1.origin
- Adware.Jiubang
- Adware.Adtiming.1.origin
Adware.Adpush .601- Adware.SalmonAds.3.origin
- Adware.Gexin.2.origin
软件开发者和病毒编写者嵌入到用于显示侵略性广告的应用的不良模块。
Tool.SilentInstaller .1.originTool.SilentInstaller .6.origin
用于暗中下载并安装其他应用的风险程序。
银行木马
银行木马仍然对移动设备用户构成严重威胁。此类恶意应用窃取信贷机构客户账号的用户名、密码、银行卡信息及可用于窃取资金的其他机密信息。在过去的12个月中,Dr.Web安卓反病毒365娱乐网在智能手机和平板电脑上侦测到此类木马的次数超过110,000次。侦测到的安卓银行木马增幅如下:
2016年年底银行木马
3月份,Doctor Web公司技术人员在Google Play中发现木马
2018年秋病毒分析人员对银行木马
不久后,技术人员在Google Play侦测到攻击巴西用户的木马
诈骗活动
网络犯罪分子越来越喜欢使用安卓恶意程序进行诈骗。2018年,我公司发现大量用来诈骗的木马。其中包括
在过去的一年中,我公司技术人员在Google Play侦测到其他可以根据控制服务器的指令加载任意网页的木马,如
此外,不法分子还大量传播
病毒分析人员在2018年发现
前景和趋势
2019年,移动设备用户将再次面临来自银行木马的攻击,病毒编写者将继续改进其功能。安卓银行木马中可能会出现更多能够执行各种任务的多功能恶意程序。
诈骗应用和广告木马会继续增加。病毒编写者会继续利用安卓设备的计算功能挖掘电子加密货币。固件感染事件还会发生。
网络犯罪分子将改进技术以绕过反病毒365娱乐网、内置安卓操作系统中的新限制规则及保护机制。同时可能会出现能够绕过这些壁垒的Rootkit和木马,以及具有新运行原理的恶意程序及获取机密信息的新手段。如利用移动设备传感器或眼球追踪技术来获取正在键入的文本内容。此外,不法分子可能会在新的恶意程序中应用机器学习算法及其他人工智能手段。
Your Android needs protection!
Use Dr.Web
- First Russian anti-virus for Android
- Over 140 million downloads—just from Google Play!
- Available free of charge for users who purchase Dr.Web home products
30.11 Doctor Web:2018年11月病毒活动综述
2018.11.30
在2018年秋季最后一个月发生了多起信息安全事件。11月份,Doctor Web公司技术人员对一种可以从被感染设备删除反病毒软件的Linux挖矿木马进行了研究。不久后又发现一种Windows木马点击器采用特别方式入侵潜在受害者的计算机。病毒编写者对安卓移动平台的兴趣也没有减弱,11月份出现的多个新的安卓恶意程序,都已添加到Dr.Web病毒库。
11月主要趋势
- 一种Windows木马点击器正在传播
- 出现一种能够删除反病毒软件的Linux挖矿木马
- 发现新的安卓恶意程序
本月威胁
添加到Dr.Web病毒库并被命名为
从这一网站会下载一个包含可执行文件setup.exe的压缩包,这个可执行文件实际上就是一个下载器,可从互联网下载另一个伪装成ARJ压缩包的文件,而这个文件是一个点滴木马,可将木马和真正的DynDNS应用安装到系统。如果用户从被感染的计算机进行卸载,则只能删除DynDNS程序,Trojan.Click3.27430仍将保留在系统中并继续进行恶意活动。关于该木马及其运行原理的更多详情请参阅我公司网站上发表的文章.
Doctor Web统计服务器收集的数据结果
Trojan.SpyBot.699 - 一种多模块银行木马,网络犯罪分子利用这一木马下载各种应用并在被感染设备上启动,执行收到的指令。该木马旨在从银行账户盗取资金。
- JS.DownLoader
- 一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意程序。
- JS.Miner
- 用于暗中获取(采集)加密电子货币的JavaScript脚本家族。
- Trojan.MulDrop
- 一种在被感染计算机安装其他恶意程序的木马家族代表。
Trojan.Encoder.11432 - 一种又被称为WannaCry的加密蠕虫。
邮箱流量恶意程序统计
- JS.DownLoader
- 一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意程序。
Trojan.SpyBot.699 - 一种多模块银行木马,网络犯罪分子利用这一木马下载各种应用并在被感染设备上启动,执行收到的指令。该木马旨在从银行账户盗取资金。
- JS.Miner
- 用于暗中获取(采集)加密电子货币的JavaScript脚本家族。
Trojan.Encoder.26375 - 一种加密计算机文件并要求受害者支付解密的勒索木马家族代表。
加密器
11月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
Trojan.Encoder.858 — 申请的 32.15%;Trojan.Encoder.11464 — 申请的 11.17%;Trojan.Encoder.11539 — 申请的 10.80%;- Trojan.Encoder.25574 — 申请的 4.91%;
Trojan.Encoder.567 — 申请的 1.35%;Trojan.Encoder.10700 — 申请的 1.35%.
Dr.Web Security Space for Windows抵御木马加密器
危险网站
网络钓鱼网站单独构成一个危险的不推荐网站类别。网络钓鱼是一种网络欺诈,其最终目的是盗取受害者的机密信息,比如互联网服务的登录名、密码以及社交网络的验证信息。为此,不法分子模仿真正的互联网资源创建虚假网站,并通过各种方法吸引用户登录。随后网络犯罪分子可以利用所得信息群发广告,用来进行诈骗或勒索。
11月,Doctor Web公司技术人员记录到多起此类欺诈邮件的群发事件。网络犯罪分子以邮箱服务管理员的名义向用户发送邮件,称已收到用户停用邮箱的申请,撤销申请需打开邮件中的链接。
潜在受害者点击链接会打开包含电子邮箱用户名和密码的网络钓鱼网站。无论访问者输入什么内容都会显示错误,而所填入的信息会被立即发送给不法分子。Doctor Web公司技术人员已发现多个网络钓鱼网站,其地址已添加到SpIDer Gate的不推荐网络资源库。
2018年11月份Dr.Web不推荐网站和恶意网站数据库共新添231 074个互联网地址。
| 2018.10 | 2018.11 | 增幅 |
|---|---|---|
| + 156 188 | + 231 074 | + 47.94% |
Linux恶意程序
该木马是一个shell脚本,包含1000多行代码,由从不法分子服务器下载的多个组件组成。恶意脚本成功安装后,会从互联网下载木马
其他信息安全事件
根据Doctor Web公司服务器收集的被感染计算机和邮件流量统计数据,
该恶意程序可以在已启动的进程、打开窗口的名称和存储在磁盘的文件中查找银行客户端,还会在浏览器cookies文件中查找银行客户端的系统信息。不法分子在收到所需信息后,会利用
移动恶意软件和不良软件
11月份,Doctor Web公司病毒分析人员侦测到通过Google Play目录传播的木马
11月份最值得注意的移动安全事件有:
- 恶意应用和不良应用在Google Play中传播。
11月份移动病毒情况更多详情请参阅移动威胁综述。
