十二月份恶意软件之十恶不赦排行榜

时光荏苒，2018年瞬息而逝，在2018年的最后一个月份里，国外安全公司的研究人员发现， SmokeLoader在12月份跻身“十恶不赦”恶意软件名单。其作用主要用于加载其他恶意软件，如TrickbotBanker，AZORult Infostealer和PandaBanker，自2011年以来，研究人员已经关注此程序，在通过两次活动激增后，去年12月首次进入前10名。  

尽管2018年所有加密货币的价格普遍下降，显现出了加密货币的泡沫属性，但恶意加密软件仍占前10名中名额的一半之多，占据了前4名。Coinhive 连续13 个月雄踞被统计恶意软件的第一位，全球近12％的组织受其影响。Emotet是一个用作恶意软件分销的高级木马，此次跃升至第五位，而Ramnit则是一种窃取登录凭据和其他敏感数据的银行木马，本月在第8位重回前10名。

2018年12月“十恶不赦”：

*箭头与上个月的排名变化有关。 

1，↔Coinhive- Cryptominer，用于在用户访问网页时执行Monero加密货币的在线挖掘，在用户不知情的情况下通过挖掘门罗币获得收入，植入的JavaScript使用用户机器的大量算力来挖掘加密货币，并可能致使系统崩溃。

2，↑XMRig - XMRig -是一种开源利用CPU进行挖掘恶意软件，用于挖掘Monero加密货币，并于2017年5月首次被发现。

3，↑ Jsecoin - 可以嵌入网站的JavaScript矿工。使用JSEcoin，可以直接在浏览器中运行矿工，以换取无广告体验，游戏内货币和其他奖励。

4，↓ Cryptoloot- Cryptominer，使用受害者的CPU或GPU电源和现有的资源开采加密的区块链和发掘新的机密货币，是Coinhive的有力竞争对手，本月较上月下跌二个名次，获得的第四名地位。。

5，↑  Emotet - 自我传播和高级模块化的木马。Emotet曾经被用作银行木马，最近被用作其他恶意软件或恶意广告的分销商。它使用多种方法来维护持久性和规避技术以避免检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

6，↑Nivdort - 多用途机器人，也称为Bayrob，用于收集密码，修改系统设置和下载其他恶意软件。它通常通过垃圾邮件传播，其中收件人地址以二进制文件编码，从而使每个文件都具有唯一性。

7，↓Dorkbot- IRC-是一种基于IRC设计的蠕虫，可以以操作员执行远程代码，以及下载其他恶意软件到被感染的机器。是一个银行木马，其主要动机是窃取敏感信息并可以发起拒绝服务攻击，本月影响程度较上月有所下降，由上月第五名下降为第七名。

8，↑ Ramnit - 是一款能够窃取银行凭据，FTP密码，会话cookie和个人数据的银行特洛伊木马。

9，↑Smokeloader - Windows的第二阶段下载器，用于下载其他恶意软件或其他插件。Smokeloader使用各种反分析技巧，用于欺骗和自我保护。Smokeloader通常用于加载许多已知的家族，包括Trickbot木马，Azorult infostealer和Panda等。

10，↑Authedmine –是一款臭名昭着的JavaScript矿工CoinHive变异版本。与CoinHive类似，Authedmine是一个基于Web的加密挖掘器，用于在用户访问网页时执行Monero加密货币的在线挖掘，Authedmine是在运行挖掘脚本之前要求网站用户明确同意的。

Triada是Android的模块化后门，在顶级移动恶意软件列表中排名第一。Geurilla已经攀升至第二位，取代了Hiddad。与此同时，Lotoor已经取代Android银行木马和信息窃取者Lokibot排名第三。

12月份的三大移动恶意软件：

Triada - Android的模块化后门，为下载的恶意软件授予超级用户权限，有助于它嵌入到系统进程中。Triada也被视为欺骗浏览器中加载的URL。

Guerilla - Android广告点击工具，能够与远程命令和控制（C＆C）服务器通信，下载其他恶意插件，并在未经用户同意或不知情的情况下执行激进的广告点击。

Lotoor - Hack工具利用Android操作系统上的漏洞获取受感染移动设备的root权限。

 CheckPoint的研究人员还分析了最受利用的网络漏洞。保持第一名的是CVE-2017-7269，其全球影响力也略微上升至49％，而11月为47％。排在第二位的是OpenSSL TLS DTLS心跳信息披露，全球影响力为42％，紧随其后的是PHPMyAdmin错误配置代码注入，影响力为41％。

 12月份的三大漏洞：

↔MicrosoftIIS WebDAVScStoragePathFromUrl缓冲区溢出（CVE-2017-7269） - 通过MicrosoftInternet Information Services 6.0通过网络向Microsoft WindowsServer 2003 R2发送精心设计的请求，远程攻击者可以执行任意代码或导致拒绝服务条件在目标服务器上。这主要是由于HTTP请求中对长报头的不正确验证导致的缓冲区溢出漏洞。

↔ OpenSSL的TLS DTLS心跳信息泄露（CVE-2014-0160; CVE-2014-0346） -一个信息泄露漏洞存在于OpenSSL的。该漏洞是由于处理TLS / DTLS心跳包时出错。攻击者可以利用此漏洞披露已连接客户端或服务器的内存内容。

↑ Web服务器PHPMyAdmin错误配置代码注入 - PHPMyAdmin中已报告代码注入漏洞。该漏洞是由于PHPMyAdmin配置错误造成的。远程攻击者可以通过向目标发送特制的HTTP请求来利用此漏洞。

往期回顾