火绒安全：2015中国大陆地区PC互联网安全报告

　　火绒安全团队(www.huorong.cn)根据2015全年的安全威胁统计数据分析，我们认为PC终端用户面临的威胁主要集中在两个方面，即传统的恶意代码问题(病毒)，以及商业软件侵权问题(商业软件流氓化)。

　　传统恶意代码问题从技术角度来看并没有本质变化，但从恶意威胁的分布来看，广告类程序、勒索类病毒等已牟利为目的的恶意软件呈飞速上升的趋势。同时，在国内很多安全厂商“重云轻本地”的大环境下，天然对“云查杀”免疫的感染型病毒等传统恶性病毒仍然活跃。

　　软件侵权则是近些年比较突出的问题，软件捆绑、流量劫持、竞品软件间的“对攻”等问题给PC终端用户带来了很大的困扰。商业软件的覆盖率远远大于恶意代码，所以从宏观的角度来看，这些商业软件侵权对用户的伤害远远大于病毒、木马。

　　下面，我们将通过数据来回顾下2015年的互联网安全形式。

1. 电脑病毒疫情和新趋势

　　· 图解2015年度恶意代码趋势

　　图2.1为火绒反病毒引擎对火绒2015全年捕获样本的检出结果前20位。

图2.1 火绒2015全年捕获样本检出结果Top20

　　分别基于检出结果前20位和年度全部检出结果，对恶意威胁类型进行分析，可以分别得到以下图表：

图2.2 基于全年检出结果的恶意威胁类型分布

　　基于全年的检出结果，我们根据恶意代码针对的平台做了统计，得到如下图表：

图2.3 基于全年检出结果的威胁平台分布

　　接下来，我们逐一对2015年度几个较为重点安全现象进行简要分析。

　　· 威胁平台趋势变化不大

　　从全年的统计数据来看，Windows平台恶意代码数量占90%，这个整体比例与往年相比没有本质变化。但脚本类恶意代码和移动端恶意代码的数量呈上升趋势。相信随着移动设备、系统和应用的普及，针对这些平台的恶意代码数量会保持上述的趋势。

　　· 广告程序直追木马病毒

　　从上面的统计数据可以看到，广告软件在火绒全年的检出结果中占33%，整体数量直逼木马病毒(39%)。从过去几年的趋势来看，这个比例正呈现逐年放大的趋势。

　　木马曾经是电脑病毒中最大分类，且目前整体上来看依然占据重要位置，但近年来随着广告类程序的增多，广告类程序几乎与木马类病毒“平分秋色”。

　　· 感染型病毒依旧活跃

　　根据火绒安全情报分析系统的统计数据，每天全国有2%的PC用户受到感染型病毒感染。其中以Virus/Ramnit、Virus/Sality和Virus/Virut最为活跃。

　　感染型病毒通过修改宿主程序代码的方式将恶意代码寄生在宿主程序中运行，这就导致了所有被感染程序文件数据均不相同，加之不少多数感染型病毒均通过多态(Polymorphism)、变形(Metamorphism)等技术对恶意代码进行伪装。这种恶意代码的伪装对“云查杀“有天然的免疫，所以在国内”云查杀“覆盖率如此高的情况下，感染型病毒依旧活跃。

　　“云查杀”通过向用户电脑下发病毒的哈希(Hash，即文件数据内容的“信息摘要”)，来实现对病毒问题的快速响应，而感染型病毒会通过将病毒代码附着于正常文件之内的方式进行感染，每个被染毒文件的哈希均不相同，因此无法通过统一的哈希来查杀被感染文件。并且，由于每个被感染的文件都是全新的、独一无二的，云端不可能预先获知，所以对于每个被感染的文件，云端响应均需要经过文件上传、文件分析后才能产生云端的哈希并下发——整个响应周期内感染型病毒可能已经完成了全盘感染。

　　火绒反病毒引擎通过“虚拟沙盒技术”可以精确还原通过多态技术伪装过的恶意代码，另外通过火绒“行为沙盒”可以清晰地还原通过变形技术伪装过的恶意代码行为，可以精确地检出并清除病毒代码。

　　· 病毒针对用户“刚需”，通过社会工程学传播和隐藏

　　通过火绒安全情报分析系统的统计数据我们发现，很多病毒传播者会针对用户的喜好，有针对性地伪装病毒程序的文件名，诱骗用户下载并运行。

图2.5、伪装成游戏、外{过}{滤}挂等用户感兴趣的程序

图2.6、伪装成操作系统进程名

　　· 勒索类病毒日渐频仍

　　近年来，随着互联网的不断发展，计算机病毒也在向着利益化发展，勒索病毒传播与发展也越来越快，越来越多。勒索病毒的出现最早可以追溯到1989年，由Joseph Popp编写的PC Cyborg病毒，该病毒会修改系统AUTOEXEC.BAT文件来监控系统启动次数，当第90次启动后就会加密系统所有文件的文件名，使系统无法正常启动以此来威胁用户付钱。

　　早期的勒索病毒主要通过锁定受害者的计算机，使受害者不能正常操作，或者隐藏用户的文件，以此来向受害者勒索钱财。

图2.7、锁屏类勒索软件

　　2013年下半年随着CryptoLocker的出现将勒索软件带到了一个新的高度，之后的勒索病毒大都效仿CryptoLocker的模式。CryptoLocker不再是简单的锁定用户的计算机，因为随着互联网的普及，普通用户对计算机的了解也越来越多，简单的锁定受害者计算机很容易恢复并且不会对受害者造成危害，威胁成功的几率越来越低，CryptoLocker会将受害者的文件进行加密，这样即使清除了病毒文件，被加密的文件也不能恢复。这对于有些受害者可能是致命的。这样就迫使一些受害者不得不接受病毒作者的勒索。

（编辑：PHP编程网 - 湛江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!