腾讯安全反病毒实验室2018年发布Q3季度互联网安全报告

2018年Ｑ3季度安全讲述            

   前言

   

   一、 共建网络安全，共享网络文明，努力促进网络安全发展

   

   9月16日，以网络安全为人民，网络安全靠人民为主题2018全国网络平安宣传周在成都拉开帷幕，全国网络安全宣传周延续通过论坛、讲座、宣传片、互动等厚实多样的形式，广大网民越来越接受和认可网络安全的观点，网民的防护技能也在逐步提高。

   

       

   

   8月27第四届互联网平安首脑峰会（Cyber Security Summit 2018，简称CSS2018）在北京举行。本次峰会以平安强驱动，数字新生态为主题0前面的1讨论这个话题。本次平安峰会汇集了来自国内外互联网行业的数十名专业人员和各互联网企业的高级人员，共同探讨互联网安全的前沿问题和未来增长。        

   

   10月3日，国际反病毒年度平安盛会Virus Bulletin International Conference（VB2018）在加拿大举行。腾讯平安与腾讯电脑管家、自主研究TAV杀毒引擎、哈勃分析系统等经过严格磨练的安全产品出现在展会上。腾讯平安反病毒实验室平安专家发表了题为《危险卷土重来:与不断变化的宏观病毒威胁竞争》的主题演讲，分享了各种宏观病毒检测手段和方法，引起了平安专家的广泛关注。        

       

   二、 VB100宣布最新评价:腾讯电脑管家第一30次通过认证        

   

   国际权威杀毒评估机构Virus Bulletin宣布2018年8月VB100腾讯计算机管家评估成果(英文版)以100%通过率，0误报的优异成就得到认证，也是第一个30再次获得认证，再次刷新通过纪录，连续领先国际杀毒软件第一阵营。        

   

   现在，网络平安已逐渐成为海陆空天之外的第五种平安，本次测试，腾讯电脑管家不仅在世界舞台证明了海内平安厂商的实力，而且也为海内网络平安行业的提高带来更大信心。

       

   3、 多家医院入侵植入挖掘木马，勒索病毒攻击土地局，Q3季度网络安全事宜频频发生        

   

   腾讯御见威胁情报中心7广东和重庆的许多三级服务器被黑客入侵，攻击者暴力破解了医院服务器的远程登录服务，然后下载了各种采矿木马。攻击者将采矿木马伪装成远程辅助工具Teamviewer运行时，攻击者的挖掘木马将检测多达50在完成这些程序后，将这些程序独占服务器资源进行采矿。        

   

   9山东省部门和地区国土资源局遭受勒索病毒攻击，导致相关业务无法解决，最终宣布暂停解决通知。勒索病毒发生在国土资源网络上，大多数企业和机构IT该部门认为内部网络相对安全，因此网络安全保护不到位给了木马病毒一个机会。内部网络不等于安全。还需要实时更新防病毒软件和系统补丁。        

   

   4、关于腾讯反病毒实验室

   

   腾讯反病毒实验室作为网络安全反病毒第一战线的一员，有责任自动承担保障国家和人民互联网安全的社会责任。

   

   腾讯反病毒实验室成立于腾讯20102000年，我一直致力于互联网安全保护、计算机和移动恶意软件检测和杀戮、网络威胁情报预测警察等事自主研发引擎能力、安全事务运营、哈勃分析平台勃分析平台查杀能力、缺陷监测能力和病毒样本分析“提供全面、系统、集成的产品运营标准化保护，进一步为腾讯的安全实力提供技术支持，也为网民营造了安全的互联网环境。

   

   实验室拥有专业的反病毒团队，独立反病毒引擎TAV研深耕多年，拥有多项自主知识产权病毒检测专利。在AV-C、AV-TEST等待国际平安评估多次超越国际老牌杀毒软件成就大满贯，这也解释中国自主研发的杀毒引擎已达到世界先进水平。        

   

   一、PC平安方面

   

   腾讯电脑管家英文版延续VB100,ICSA等待认证测试，不仅2017多年来，在赛可达测试中继续获得第一名，更是在AV-C 2017年国际评测中作为海内唯一参测产物，5项测试A 评级，与卡巴斯基、比特梵德、小红伞国际知名厂商相比。

       

   
   

   

   
   

   

   2.在移动安全方面

   

   在移动威胁检测能力方面，腾讯手机管家在2016年以来AV-Test在国际评价中，延续16次满分13国内独一无二。

   

   三、动态检测

   

   反病毒实验室哈勃动态分析系统为网民提供了动态检测未知文件的能力，帮助网民实时检测和分析可疑文件。

   

   
   

   

   第一章    PC端恶意程序        

   

   一、恶意程序阻挡和中毒机械量

   

   （一）恶意程序阻挡量

   

   根据腾讯反病毒实验室的统计，它停止到2018年9月尾，PC病毒已经被终端断12平均每月阻止木马病毒约1亿次1.33亿次。

   

   Q3季度阻断病毒总数3.3亿次，Q3季度平均每月阻挡木马病毒1.11亿次。相比Q2季度病毒阻挡总量下降，说明用户前端病毒活动继续下降，但Q3每月季度整体阻挡量逐渐下降，9月降至最低点，以停止今年的最低点。详细数值如下：图    1。

   

       

   

   与本季度病毒阻挡量相比， Q2季度病毒阻挡量环比下降19.54%，凭据最近4个季度数据颠簸情形剖析，可以看出前端用户病毒数目泛起波浪式下降。详细数值如下：图    2。

       

   
   

   

   图    2

   

   2018年Q3季度相较于2017年Q3季度病毒阻挡量同比下降34.30%，恶意程序数量同比大幅下降，但仍在跨越2015与2016病毒阻挡量在年同季度。详细数值如下：图    3。

       

   （二）中毒机械量        

   

   停止到2018年9月尾，PC端Q3总季度发现8，276万木马病毒在次用户机械中，平均每月2758万台中毒机械进行病毒查杀，本季度7月中毒机械数量最低，约为2,622万次，随后8月慢慢回升3,000万次左右。详细数值如图    4。

       

   图    4

   

   2018年Q3与季度中毒机械次数相比，季度中毒机械次数相比Q2季度中毒机械数量继续下降，降幅达到9.69%。这已是从2017年Q3季度以来继续4个季度中毒机械次数下降。详细数值如图    5。

   

   图    5

   

   2018年Q3季度相较于2017年Q3季度中毒机械数量同比下降33.94%。从2015至2018年Q3数据来看，2017年Q3季度是近年来中毒机械数量的峰值，提高了近年来中毒机械数量的平均水平2018年Q3季度出现下降趋势，降至平均水平。详细数值如下：图    6。

       

   图    6

   

   一、详细分类恶意程序    

   

   (一)恶意程序类型和量级分类    

   

   2018年Q3季度根据获得的病毒样本分析，从病毒类型来看，木马类占总数57.67与%相比，它一直是最大的病毒类型Q2季度环比略有下降。Adware第二大病毒类(广告软件、强制安装、网络用户隐私、弹垃圾信息等。)，占总数33.68%，相比Q2季度略有上升。后门类是第三大病毒类，占总数6.63%，相比Q2季度略有下降，但下降并不明显。

   

   从以上数据可以看出，与上述数据相比Q2季度病毒类型和排名没有变化，只有数量比例不同，是正常颠簸的局限性。具体值如图    7。

       

   图    7(病毒类型划分)

   

   从病毒样本的数量被划分，你可以看到图    8木马仍然排名第一，占恶意程序总量62.21%，但相比Q2季度大幅增加，阻挡量回归60%以上。而排在第二位的是PE熏染型病毒，占总数14.39%，相比Q2季度略有下降，但排名取代Adware类上升到第二位。排名第三的是Adware病毒，占总数据14.19%，受木马类急剧上升的影响，类病毒与木马相比Q2季度呈下降趋势。详细数值如图    8。        

   

   
       

   

   图    8(样本量级划分)

2018年9-10月勒索病毒月报

   

   （2）木马类的详细分类        

   

   在最大的病毒木马类中，可分为多种类型的木马病毒。下载其他有害软件的程序，勒索软件，释放有害软件的程序，窃取个人信息，银行盗号诈骗，社交软件工具盗号，虚假反病毒软件，DDoS有害程序，如攻击软件、游戏盗号软件有害程序。        

   

   下载木马排名第一，占各种类型。38.06%，相比Q2季度上所上升，上升幅度较小，这类病毒在2月份继续小幅上升，呈回升趋势。        

   

   盗号病毒排名第二，占所有类型15.23%，相比Q2季度小幅上涨，解释Q3季度盗号木马病毒新增种类再次增多，攻击者正在开发新的病毒变种攻击用户网银相关信息。        

   

   勒索病毒排名第三，占所有类型11.59%，相较Q2季度略有上升，排名上升两位，详细数值如图    9。

       

   图    9(木马种类划分)

   

   木马病毒的种类很多，说明病毒可能来自很多不同的作恶团伙，但从木马的阻挡量可以看出哪些木马病毒最活跃。从木马病毒样本的数量被划分，你可以看到图    10中排第一Dropper类木马病毒(释放有害文件木马)，占所有阻挡量42.52%，相比Q2季度泛起小幅下降。    

   

   勒索病毒排名第二，占所有障碍物的比例28.80%。勒索病毒阻挡量相比Q2季度基本持平，变化不大。从木马类型漫衍和木马阻挡漫衍两个数据图的对比可以看出，Dropper虽然病毒种类没有下载类多，但在数量级上远远超过了下载类，这说明这种木马流传最广，数量最多，受害者最多。详细数值如图    10。

   

   图    10(木马量级划分)

   

   （三）PE熏染病毒分类    

   

   从监测到的数据来看，熏染病毒的种类变化不大。熏染型病毒种类不多，但是用户侧仍然很活跃，对比2018年Q2季度与Q3季度数据显示，排名前几的熏染病毒无论比例如何都发生了变化。    

   

   在熏染病毒中，本季度排名第一的是PolyRansom病毒占所有感染病毒的比例20.69%，相比Q2季度从第五位上升至第一位，重新开始变得活跃。排在第二位的是Virut病毒，所有熏染病毒占19.37%，相比Q2季度略有下降，但排名没有改变。排名第三的是Agent，所有熏染病毒占15.26%，相比Q2季度从第六名上升到第三名。详细数据如图    11。    

       

   图    11

   

   由于熏制病毒不同于流行的木马病毒，熏制病毒将通过修改宿主程序代码将恶意代码寄生在宿主过程中，每个文件都被熏制（Hash，文件中数据的信息摘要)值城市变化，因此，被熏染病毒熏染的文件无法进行云查杀。        

   

   因此，杀毒引擎能否修复熏制文件反映了反病毒引擎修复熏制病毒的能力。目前，腾讯反病毒实验室的自主研究TAV反病毒引擎可以杀死和修复各种熏染病毒在国际和国内盛行。

   

   （四）非PE病毒分类        

   

   网络的非凭证PE病毒样本统计，从非PE就病毒文件类型而言，本季度排名第一VBS类病毒占所有病毒的比例45.28%，与大幅上涨相比Q2季度跨越JS再上升到第一位。排名第二的是JS类病毒占所有病毒的比例27.05%，相比Q2季度大幅下降。排名第三的是HTML类病毒占所有病毒的比例18.18%，相比Q2季度大幅上升。详细数据如图    12。        

       

   图    12

   

   一、中毒用户区域漫衍        

   

   凭据中毒PC数字统计，从都市漫衍的角度来看，排名变化并不少见。互联网依然蓬勃发展，用户中毒较多，排名较高TOP10会有一些变化，其次是:深圳、广州、武汉、北京、重庆、成都、上海、济南、杭州、苏州，其中，苏州取代东莞上榜TOP10。

   

   深圳仍然是世界上第一个阻挡病毒的城市，占所有阻挡量4.89%，相比Q2季度小幅上涨。第二名是广州，与排名相比Q2季度小幅上涨，阻挡量占所有阻挡量4.39%。第三名是武汉，与武汉相比Q2季度小幅下降，阻挡量占所有阻挡量3.33%.详细数据如图    14。

       

   图    14

   

   与省级地区漫衍数据相比，Q2季度排名略有变化，前六名省份排名没有变化。中毒PC数目广东省仍然是世界上最多的省份，占所有障碍物的比例14.43%，与Q2季度略有上升。河南省、山东省病毒阻挡量略有下降，江苏省、浙江省病毒阻挡量略有上升。详细数据如图    15。

       

   图    15

   

   一、 PC端巧取豪夺病毒细节        

   

   巧取豪夺病毒是以以抢钱为目的，该木马计算机用户系统中的指定数据文件被恶意熏染加密，造成用户数据丢失。现在，大多数从国外传入中国的巧夺豪夺病毒都需要支付比特币赎金来解密。由于比特币完全匿名流通，巧夺豪夺病毒背后的幕后操作员无法跟踪手艺手段，这也使得巧夺豪夺病毒从2013年后泛起发作增进。        

   

   (1)巧取豪夺病毒阻挡量

   

   根据相关数据分析，通过图    16可以看出，本季度欺诈性病毒阻挡最大的仍然是Blocker，这种欺骗性病毒占据了所有欺骗性病毒的比例78.91%，相比Q2季度小幅上涨，多季度继续上涨。排名第二的是GandCrypt，所有欺骗性病毒7.50%，相比Q2季度小幅上涨。详细数据如图    16。

       

   图    16

   

   一、破绽相关病毒详情

   

   (1)破绽病毒分类细节

   

       

   

   统计破绽病毒样本主要漫衍Windows、Linux、Android平台上，这3平台上的破绽病毒样本占所有破绽病毒样本的绝大多数。通过统计获得的破绽类型样本，可以看到Windows非PE到达类型的缺陷样本77.21%，相比Q2季度略有上升。PE类型破绽样本到达18.33%，相比Q2季度基本持平。Windows平台破绽样本总量可达到平台所有破绽样本总量95.54%，相比Q2季度基本持平。Linux平台破绽比例为2.38%，Android平台破绽比例为2.08%。详细数值如图    17。

       

   
   

   

   
   

   

   图    17

   

   （二）Linux平台破绽病毒细节        

   

   在Linux在平台上，第一个缺陷攻击样本被称为Exploit.Linux.Lotoor，在所有样本中60.48%，相比Q2季度大幅下降，这种样本实际上是行使的Linux为了让黑客获得更高的系统权限，实施其他恶意操作，提高了缺陷举行权限。详细数值如图    18。

       

   图    18

   

   （三）Android平台破绽病毒细节    

   

   在Android在平台上，第一个缺陷攻击样本被称为Exploit.AndroidOS.Lotoor，在所有样本中87.67%，相比Q2季度略有上升，略有上升Linux平台上的名称相同，功效也是为了提高病毒的系统权限。详细数值如图    19。

       

   图    19

   

   （四）Windows平台破绽病毒细节    

   

   在网络到的Windows非PE类型破绽病毒量级最大，而不是PE类型破绽病毒样本可分为多种类型的文件，其中排名第一的是OLE类，此类通常为复合文档，以office大多数文档占所有非PE破绽病毒的56.75%，相比Q2季度略有下降。排名第二的是JS类，占所有非PE破绽病毒的33.72%，相比Q2季度略有上升。排名第三的是SWF类，通常是指Adobe的Flash缺陷，占所有非PE破绽病毒的4.65%，相比Q2季度变化不大。详细数值如图    20。

       

   图    20

   

   Windows平台上的PE类型破绽样本到达18.33%，在这个部门的破绽样本中排名第一MS04-028，占所有缺陷样本25.67%，相比Q2季度继续小幅上涨，这是一个较老的缺陷，但根据网络样本分析，仍然非常活跃。详细数值如图    21。

       

   第二章    Android端恶意程序        

   

   一、恶意程序检查测量        

   

   2018年Q3统计Android样本数据显示，停止9月尾本年度总计已检测Android病毒样本量509万多平均每月检测Android病毒样本56.5一万多个。通过数据可以看到。Android病毒样本Q3季度相比Q2季度有所下降。详细数值如下：图    27。

       

   图    27

   

   二、恶意程序详细分类        

   

   (一)恶意程序类型和量级分类        

   

   凭据2018年Q3季度获得Android病毒样本分析，从病毒类型来看，整体排名略有调整，排名第一PUA类(灰色软件)占病毒总量52.87%，相比Q2季度略有下降，打破此类病毒数量，延续多季度上升趋势。SMS类为第二大病毒，占总数20.00%，相比Q2度上涨略有上升，已继续3季度上涨。Spy类别为第三大病毒，占总数5.91%，相比Q2季度小幅上涨。详细数值如图    28。

       

   图    28(病毒类型划分)

   

   从Android病毒样本的数目级上来划分，可以看到排名第一的仍然是PUA，占所有Android病毒数目的56.14%，相比Q2季度略有下降，打破流氓PUA病毒多季度持续上升。排在第二位的Dropper占所有Android病毒数目的22.80%，相比Q2这是季度小幅上涨Dropper类病毒的主要行为是伪装成其他正常软件，在后台安装其他流氓软件，会导致用户Android各种推广软件安装在机器上。排名第三的是SMS类病毒，占所有Android病毒数目的8.19%，相比Q2季度略有下降。详细数据，如图    29。        

       

   
   

狼披着羊皮：双平台采矿木马MServicesX分析