Check Point公布2018年3月全球十大最受欢迎恶意软件

恶意软件

网络安全公司Check Point在最新发布的《全球恶意软件威胁影响指数报告》中指出，针对加密货币的网络攻击事件数量在整个3月份出现了激增。其中，越来越多的网络犯罪分子开始利用经修改后的XMRig挖矿程序来开展恶意采矿活动。

XMRig原本是一款合法的开源门罗币挖矿程序，具有多个更新版本，可支持32位和64位Windows和Linux操作系统。但基于它的开源性质，在过去的几个月里已经有多个恶意版本被网络犯罪分子用于在未经许可的情况下安装在受害者的系统中以获取非法利益。

另一方面，XMRig的挖矿行为利用的是计算机本身的CPU资源，而不涉及任何网页浏览器交互。换句话来说，网络犯罪分子能够利用基于XMRig挖矿程序开发的恶意软件在无需受害者打开任何网页的情况下进行门罗币挖掘。

除了减慢计算机或服务器的运行速度之外，基于XMRig开发的恶意软件感染某台设备便会开始寻找位于同一网络中的其他设备以完成自我复制，这会给受害者造成严重的安全威胁。

于2017年5月首次出现后，XMRig不断被网络犯罪分子修改和更新，终于在今年3月份进入了Check Point发布的全球十大最受欢迎恶意软件榜单（排名第八，影响全球5%的组织）。

因全球18%的组织都受其影响，同为加密货币挖矿恶意软件的Coinhive连续第四个月保持榜首位置。排在第二位的是漏洞利用工具Rig ek（影响17%），而另一个加密货币挖矿恶意软件Cryptoloot排在第三（影响15％）。

（箭头体现了恶意软件与上个月相比的变化趋势）

↔CoinHive-加密货币挖矿恶意软件，设计用于在未经网站持有者许可的情况下，将JavaScript加密货币挖矿脚本嵌入在其网站中。当访客访问该网站时，会利用访客的计算机CPU资源来挖掘加密货币，最终导致网站访客的计算机性能下降。

↑Rig ek-漏洞利用工具，于2014年首次推出，提供Flash、Java、Silverlight和Internet Explorer的漏洞利用，致使感染链重定向至目标登录页面。

↓Cryptoloot-加密货币挖矿恶意软件，使用受害者的CPU或GPU资源进行加密货币挖掘，将交易添加到区块链并释放新货币，是Coinhive的主要竞争对手之一。

↑RoughTed-广告恶意软件，能够大规模传播网络诈骗、广告软件、漏洞工具包与勒索软件相关的恶意网站或者链接。可用于攻击任意类型的平台和操作系统，还可绕过广告拦截器与指纹识别功能，以提高黑客攻击的成功率。

↓JSEcoin-加密货币挖矿恶意软件，可嵌入网站的JavaScript矿工。

↔Fireball-一款功能齐全的恶意软件下载程序，允许攻击者在受害者设备上执行任意代码、进行登录凭证窃取、恶意软件安装等广泛操作。↑Fireball-一款功能齐全的恶意软件下载程序，允许攻击者在受害者设备上执行任意代码、进行登录凭证窃取、恶意软件安装等广泛操作。

↑Andromeda-模块化木马，主要被用作后门，在受感染的计算机上下载其他恶意软件，并可进行修改以创建不同类型的僵尸网络。

↑XMRig-加密货币挖矿恶意软件，一款用于挖掘门罗币的开源CPU挖矿软件，于2017年5月首次被用于恶意攻击活动。

↓Necurs-僵尸网络，用于通过垃圾邮件传播恶意软件，主要是勒索软件和银行木马。

↑Conficker-允许远程操作和恶意软件下载的蠕虫。受感染的设备由僵尸网络控制，通过连接Command＆Control服务器以接收指令。

Lokibot-具备混合功能的Android银行木马，可变成勒索软件锁定手机，以防其管理员权限被删除。

Triada-适用于Android设备的模块化后门程序，可利用管理员权限下载恶意软件并将其嵌入至移动设备系统进程。

Hiddad-可重新打包合法应用程序，之后将其发布到第三方应用商店，利用社交工程技术诱骗受害者安装虚假的软件应用。

Oracle WebLogic WLS安全组件远程执行代码漏洞（CVE-2017-10271），全球影响率为26％-它驻留在Oracle WebLogic的 WLS组件中，来源于Oracle WebLogic处理xml解码的不正确方式，成功的利用可能会导致远程代码执行。

SQL注入漏洞，全球影响率为19%-在从客户端到应用程序的输入中插入注入SQL查询，利用数据库的特殊性获取更多的信息或更多的权限。

Microsoft Windows HTTP.sys远程执行代码漏洞（MS15-034：CVE-2015-1635），全球影响率为12％-漏洞是由于HTTP.sys处理恶意HTTP头的错误方式造成的，成功的利用会导致远程代码执行。