«Доктор Веб»: обзор вирусной активности в IV квартале 2025 года

Вирусные обзоры | Все новости
Скачать PDF

12 января 2026 года

Согласно статистике детектирований антивируса Dr.Web, в IV квартале 2025 года общее число обнаруженных угроз увеличилось на 16,05% по сравнению с III кварталом. Число уникальных угроз при этом снизилось на 1,13%. Наибольшее распространение получили нежелательные рекламные приложения, вредоносные скрипты и различные вредоносные программы, в том числе загрузчики и рекламные трояны.

В почтовом трафике чаще всего детектировались троянские приложения, среди которых были загрузчики, похитители паролей и дропперы. Кроме того, через электронные письма распространялись эксплойты, бэкдоры и всевозможные вредоносные скрипты.

Пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами Trojan.Encoder.35534, Trojan.Encoder.41868 и Trojan.Encoder.29750.

В октябре мы рассказали о бэкдоре для Android-устройств Android.Backdoor.Baohuo.1.origin, которого киберпреступники распространяют в составе модифицированных версий мессенджера Telegram X. Эта вредоносная программа похищает логины и пароли от учетных записей Telegram и другие конфиденциальные данные. С ее помощью вирусописатели могут управлять взломанными аккаунтами жертв и полностью контролировать сам мессенджер, выполняя различные действия от имени пользователей.

В ноябре наша антивирусная лаборатория опубликовала исследование таргетированной атаки, совершенной хакерской группировкой Cavalry Werewolf на российское государственное учреждение. В ходе проведенной экспертизы специалисты «Доктор Веб» выявили множество вредоносных инструментов злоумышленников, в том числе инструменты с открытым исходным кодом, которые киберпреступники применяют в своих кампаниях. Были также изучены особенности группировки и характерные для нее действия внутри скомпрометированных сетей.

Уже в декабре на нашем сайте вышел материал об уникальном трояне Trojan.ChimeraWire, который «накручивает» популярность сайтов и для этого притворяется человеком, чтобы его действия не заблокировала антибот-защита интернет-площадок. Вредоносная программа самостоятельно ищет нужные сайты в поисковых системах, открывает их и выполняет клики на веб-страницах в соответствии с получаемыми от злоумышленников параметрами. Trojan.ChimeraWire попадает на компьютеры в результате работы нескольких вредоносных приложений, которые эксплуатируют уязвимости класса DLL Search Order Hijacking, а также используют антиотладочные приемы, чтобы избежать обнаружения.

В течение IV квартала интернет-аналитики «Доктор Веб» зафиксировали новые мошеннические сайты, которые сулили потенциальным жертвам быстрый и легкий заработок. Также были выявлены очередные фишинговые интернет-ресурсы и поддельные сайты маркетплейсов.

Наши специалисты обнаружили очередные вредоносные программы в каталоге Google Play. Среди них трояны Android.Joker, которые подписывают владельцев Android-устройств на платные услуги, а также вредоносные приложения Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах. В то же время статистика детектирований Dr.Web Security Space для мобильных устройств показала рост активности банковских троянов для платформы Android.

Главные тенденции IV квартала

  • Увеличение числа угроз, детектируемых на защищаемых устройствах
  • Снижение числа уникальных угроз, использованных при атаках
  • Рост количества запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками
  • Возросшая активность банковских троянов, нацеленных на владельцев Android-устройств
  • Распространение бэкдора Android.Backdoor.Baohuo.1.origin, взламывающего учетные записи Telegram пользователей Android
  • Появление новых вредоносных приложений в каталоге Google Play

По данным сервиса статистики «Доктор Веб»

#drweb

Наиболее распространенные угрозы IV квартала 2025 года

Trojan.Siggen31.34463
Троян, написанный на языке программирования Go и предназначенный для загрузки в целевую систему различных майнеров и рекламного ПО. Вредоносная программа является DLL-файлом и располагается в %appdata%\utorrent\lib.dll. Для своего запуска эксплуатирует уязвимость класса DLL Search Order Hijacking в торрент-клиенте uTorrent.
Adware.Downware.20091
Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
VBS.KeySender.7
Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.
Trojan.BPlug.4268
Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
Adware.Siggen.33379
Поддельный браузерный блокировщик рекламы Adblock Plus, который устанавливается в систему другими вредоносными приложениями с целью показа рекламы.

Статистика вредоносных программ в почтовом трафике

#drweb

Наиболее распространенные угрозы в почтовом трафике IV квартала 2025 года

W97M.DownLoader.2938
Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4
Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.
Trojan.AutoIt.1413
Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений: майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
JS.Phishing.791
Вредоносный сценарий на языке JavaScript, формирующий фишинговую веб-страницу.

Шифровальщики

В IV квартале 2025 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, увеличилось на 1,15% по сравнению с III кварталом.

Динамика поступления запросов на расшифровку в Службу технической поддержки «Доктор Веб»:

#drweb

Наиболее распространенные энкодеры IV квартала 2025 года

  • Trojan.Encoder.35534 — 24,90% обращений пользователей
  • Trojan.Encoder.41868 — 4,21% обращений пользователей
  • Trojan.Encoder.29750 — 3,42% обращений пользователей
  • Trojan.Encoder.26996 — 2,68% обращений пользователей
  • Trojan.Encoder.30356 — 0,38% обращений пользователей

Сетевое мошенничество

В течение IV квартала 2025 года интернет-аналитики «Доктор Веб» отметили появление новых поддельных сайтов маркетплейсов. Мошенники якобы от имени торговых площадок предлагают потенциальным жертвам сыграть в игру типа «карусель» (аналог рулетки) с шансом получить приз. После нескольких попыток пользователю «везет», но для получения выигрыша от него якобы сначала требуется оплатить доставку, затем страховку, налог и т. д. В некоторых случаях жертве сообщают, что искомый товар отсутствует, и ей предлагают обменять товар на деньги. Однако для их получения необходима оплата «пошлины». Если пользователь соглашается, от него вновь требуют дополнительных платежей в виде страховки, активации некоего счета и т. п.

#drweb

Пример поддельного сайта маркетплейса, предлагающего «розыгрыш призов»

В базу нерекомендуемых и вредоносных сайтов также были добавлены очередные интернет-ресурсы, на которых мошенники продают несуществующие театральные билеты. На таких сайтах предлагается посетить популярные постановки, в том числе по привлекательным ценам. Однако после оплаты жертвы не получают желаемые билеты и фактически отдают мошенникам деньги.

#drweb

Один из мошеннических сайтов по продаже несуществующих театральных билетов

Также были обнаружены очередные ресурсы, которые имитируют сайты частных кинотеатров и предлагают приобрести билеты для просмотра фильмов. Никаких билетов после покупки на таких площадках жертвы в итоге не получают.

#drweb

Поддельный сайт частного кинотеатра

Наши специалисты выявили ряд фишинговых ресурсов, среди которых были поддельные сайты сервиса Steam. С их помощью злоумышленники пытались получить данные учетных записей пользователей, предлагая тем указать логин и пароль для аутентификации.

#drweb

Фишинговый сайт, который имитирует настоящий интернет-портал Steam и предлагает потенциальной жертве войти в свою учетную запись

Кроме того, мошенники вновь заманивали потенциальных жертв в несуществующие инвестиционные проекты. Один из выявленных сайтов предлагал русскоязычным пользователям в Америке вложить 250$ в проект под названием Federal Invest и «зарабатывать до 90 000 долларов за три месяца». Данный проект якобы был создан в том числе при участии Дональда Трампа.

#drweb

Мошеннический сайт, предлагающий принять участие в «выгодном инвестиционном проекте»

Другой сайт сообщал о том, что узбекские пользователи имеют возможность получать от 15 00 000 узбекских сум уже в первый месяц после присоединения к рекламируемому проекту, якобы имеющему отношение к крупному холдингу.

#drweb

Мошеннический сайт, обещающий жителям Узбекистана крупную прибыль от участия в «инвестиционном проекте»

Узнайте больше о нерекомендуемых Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

По данным статистики детектирований Dr.Web Security Space для мобильных устройств, в IV квартале 2025 года самыми распространенными Android-угрозами, несмотря на снижение активности, вновь оказались рекламные трояны Android.MobiDash и Android.HiddenAds. На третье место поднялись вредоносные приложения семейства Android.Siggen, которые обладают различной функциональностью. В течение минувших 3 месяцев возросла активность банковских троянов, при этом наибольший рост среди них показали представители семейства Android.Banker.

Наиболее распространенным нежелательным ПО стали программы Program.CloudInject, модифицированные через облачный сервис CloudInject. Среди потенциально опасного ПО наибольшая активность наблюдалась со стороны приложений Tool.NPMod, модифицированных при помощи инструмента NP Manager. Самыми распространенными рекламными программами оказались модули Adware.Adpush, которые разработчики встраивают в Android-программы.

В октябре компания «Доктор Веб» опубликовала сведения об опасном бэкдоре Android.Backdoor.Baohuo.1.origin, внедренном злоумышленниками в модификации мессенджера Telegram X. Вредоносная программа похищает конфиденциальную информацию и позволяет управлять учетной записью жертвы, а также непосредственно контролировать мессенджер, меняя логику его работы.

В течение IV квартала наши вирусные аналитики обнаружили в каталоге Google Play очередные угрозы, среди которых были трояны Android.Joker, которые подписывают пользователей на платные услуги, а также используемые в мошеннических целях вредоносные приложения Android.FakeApp.

Наиболее заметные события, связанные с «мобильной» безопасностью в IV квартале

  • Рекламные трояны остались самыми распространенными угрозами для Android-устройств
  • Возросла активность банковских троянов Android.Banker
  • В сторонних модификациях мессенджера Telegram X был обнаружен опасный бэкдор Android.Backdoor.Baohuo.1.origin
  • В каталоге Google Play появились новые вредоносные приложения

Более подробно о вирусной обстановке для мобильных устройств в IV квартале 2025 года читайте в нашем обзоре.

Последние новости Все новости