腾讯电脑管家发布《2017年顽固木马盘点报告》,揭示木马“牛皮癣”
时间:2018-01-29
近年来,黑产团伙开始在软件供应链、盗版系统等多个环节大规模植入Bootkit或Rootkit类木马,这类木马特征是采用传统查杀方法无法根除,且部分具有极强的破坏性,为普通网民的系统安全构成了严重威胁。继腾讯安全《2017年度互联网安全报告》发布之后,近日腾讯电脑管家再次针对顽固型木马发布了《2017年顽固木马盘点报告》(下简称报告),从传播渠道、影响范围、获利方式等多个维度向大众全方位盘点了Bootkit、Rootkit类顽固木马,并对防范措施提出了有效安全建议。
Rootkit木马“钟爱”热搜,挖矿获利渐成趋势
Rootkit是指一类潜伏在系统中并具备高控制权限的木马。2017年腾讯电脑管家披露了多起重要Rootkit感染事件,如狼人杀木马、奔雷木马、小马激活木马等。基于拦截木马的感染源特征,腾讯电脑管家发现,Rootkit木马传播呈现出蹭热点的特点,比如捆绑在热搜影视剧下载资源、热门游戏外挂辅助上进行传播等。也会利用搜索引擎竞价推广,出现在靠前的搜索显示页上诱导用户点击下载。
在传播渠道方面,报告显示,Rootkit类木马主要传播渠道包括激活工具类软件、下载站高速下载器、私服登录器、第三方软件释放等。其中下载站高速下载器占比最高(20%),其次为激活工具类软件、外挂及私服登录器各占比15%。
感染用户机器后,Rootkit的变现获利方式较为多元化。报告显示,Rootkit的主要的变现获利方式有刷流量、锁主页、恶意推广、网络攻击、挖矿等。其中锁主页仍然是最主要的变现方式,占比高达38%。另外通过挖矿获利也逐渐增多(占比8%),似乎逐渐成为一种趋势。
Bootkit木马影响机器数百万,下载站高速下载器成“幕后黑手”
Bootkit木马是指在系统开启阶段(boot)就已植入的Rootkit木马,可以认为Boot和Rootkit木马的集成。
和APT攻击中用户是被动攻击中招不同,Bootkit木马感染用户机器更多的是用户的主动行为导致的,比如用户到一些第三方下载站下载软件时使用高速下载通道,或者在玩游戏时使用游戏辅助,私服登录器等,都有可能被捆绑恶意木马。
其中,下载站高速下载器危害最为严重。据报告显示,在2017年Bootkit木马主要传播渠道中,下载站高速下载器占比最高,达到37%。相对其他传播渠道而言,下载站拥有更大的受众,流量更广,因而影响也更大。以异鬼系列Bootkit木马为例,2017年7月腾讯电脑管家拦截到“异鬼Ⅱ”木马,影响用户电脑达到200万台,下载站高速下载器就是其中的重要推手。
在获利方式方面,报告显示Bootkit木马主要有五种获利方式:刷流量、锁主页、恶意推广、网络攻击等。其中通过刷流量及网络攻击实现获利的占比最高,达到29%。
面对严峻的顽固木马形势,腾讯电脑管家早在2016 年9月1日的12.0版本更新中,就增强了云主防及病毒木马查杀“三利剑”——BootClean清除技术、Rootkit通杀、系统急救箱的查杀能力,可以实现对病毒样本高危行为的精准拦截及查杀。
网安建设成效凸显,2017年用户染毒量下降态势明显
事实上,尽管顽固木马仍是危及用户的一大隐患,但随着互联网安全厂商对于病毒查杀技术的不断提升,2017年整体病毒形势已有了明显改善。据《2017年度互联网安全报告》显示,2017年腾讯电脑管家共发现6.3亿台用户机器中病毒或木马,相较2016年同比下降23.2%;2017年新发现病毒数量更是打破近六年来持续上涨的走势,首次出现下降趋势。
移动端病毒的下降趋势更为显著。《2017年度互联网安全报告》显示,腾讯手机管家在2017年截获的Android新增支付类病毒包数同比下降八成;手机病毒感染用户总数为1.88亿,相较2016年同比下降62.4%。
腾讯电脑管家技术专家表示,当前安全厂商在反病毒工作上已取得显著成效,但用户本身也需提高安全意识,养成良好的电脑、手机使用习惯,才能更有效的防御木马病毒感染侵袭。报告建议:用户需及时更新安装补丁,防止各种类型漏洞攻击;下载软件时到官方网址下载,同时使用正版软件;不要打开陌生的网页链接,文档等,到正规渠道下载影视等热搜资源;保持腾讯电脑管家等安全软件始终处于运行状态,可有效防止用户电脑被木马入侵。