驱动永恒蓝下载器木马的最新变化

2018年度平安讲述            

   前言

   

   一、 国家与企业合作，促进网络安全增长，网络环境逐步改善

   

   2018年无论PC在移动终端，木马病毒的数量呈下降趋势，这是国家和企业合作促进网络安全增长的效果。通过国家和企业的合作，不仅使前端网络用户的网络环境越来越好，而且使有组织的网络黑客团伙逐渐减少。        

   

   从2018年3世界两会相关政协委员和代表为互联网的安全成长发声，到4月天下网络平安和信息化事情集会中央网络安全与信息化委员会主席习近平出席了会议，并发表了重要讲话，再到9以网络安全为人民，网络安全靠人民为主题2018全国网络安全宣传周都解释了国家对互联网安全增长的重视。        

   

   ”中国是一个网络大国，但网络强国“，”没有网络安全，就没有国家安全“，建立准确的网络安全观，加强信息基础设施网络安全保护，严厉攻击网络黑客的目的不仅是让平安企业努力参与，帮助国家攻击黑产品，解决网络安全问题，还展示大国应有的网络安全实力。2018每年都有数十个网络安全集会。巨细平安企业努力参加集会，讨论网络安全增长趋势，解决网络安全实施中的问题。

   

   归根结底，网络空间的竞争是人才的竞争。建设网络强国需要优秀的人才队伍。腾讯平安不仅解决网络用户的用网平安，还在努力推动网络平安人才培育。51月，腾讯平安学院正式成立。腾讯平安学院将通过建立内部人才培养体系、校企互助体系和生态授权互助体系，建立安全人才成长与交流平台。希望通过腾讯平安学院，能够培养和挖掘更多的行业和国家网络安全人才。        

   

   2、 企事业单位仍缺乏网络安全意识，给黑客机会

   

   虽然在20182000年，网络安全环境呈上升趋势。通过对网络黑产品的持续攻击，木马病毒的数量逐渐减少，但对企业的网络攻击仍在继续，一旦企业被打破，损失往往是不可估量的。        

   

   随着国家对网络安全的重视，越来越多的企业首先关注自己的网络安全，通过购买和使用安全制造商的安全产品，加强企业网络安全设施的保护，增强员工的网络安全意识培训。然而，仍有少数政府和企业的服务器没有得到安全保护，导致服务器入侵和其他案件。

   

   2018在政府、医院和企业中，服务器被入侵并植入木马。20182000年，世界上许多医院被勒索病毒攻击，导致患者无法就医，一些医院服务器被植入挖掘木马，导致系统变慢和瘫痪。9月山东省部分地区国土资源局遭受勒索病毒攻击，导致相关业务无法解决，最终被迫宣布暂停解决通知。更多的企业被入侵，导致用户数据被盗和用户隐私泄露。

   

   许多案件发生在企事业单位的内网，大多数企事业单位IT该部门认为内部网络相对安全，因此内部网络安全保护不到位，给了木马病毒一个机会。内部网络不等于安全还需要实时更新防病毒软件和系统补丁。        

   

   这里提醒企事业单位提高网络安全意识，做好网络安全工作。

   

   3、关于腾讯反病毒实验室

   

   
       

   

   腾讯反病毒实验室作为网络安全反病毒第一战线的一员，有责任自动承担保障国家和人民互联网安全的社会责任。

   

   腾讯反病毒实验室建立20102000年，我一直致力于互联网安全保护、计算机和移动恶意软件检测和杀戮、网络威胁情报预测警察等事自主研发引擎能力、安全事务运营、哈勃分析平台勃分析平台查杀能力、缺陷监测能力和病毒样本分析“提供全面、系统、集成的产品运营标准化保护，进一步为腾讯的安全实力提供技术支持，也为网民营造了安全的互联网环境。

   

   实验室拥有专业的反病毒团队，独立反病毒引擎TAV研发多年，拥有多项自主知识产权病毒检测专利。在AV-C、AV-TEST等待国际平安评估多次超越国际老牌杀毒软件成就大满贯，这也解释中国自主研发的杀毒引擎已达到世界先进水平。    

   

   一、PC平安方面

   

   腾讯电脑管家英文版延续VB100,ICSA等待认证测试，不仅2017多年来，在赛可达测试中继续获得第一名，更是在AV-C 作为2018年国际评估中国内唯一的参考产品，5项测试A 评级，与卡巴斯基、比特梵德、小红伞国际知名厂商相比。

               

   2.在移动安全方面

   

   在移动威胁检测能力方面，腾讯手机管家在2016年以来AV-Test在国际评价中，延续17次满分13国内独一无二。

               

   3.动态检测

   

   反病毒实验室哈勃动态分析系统为网民提供了动态检测未知文件的能力，帮助网民实时检测和分析可疑文件。

               

   4.威胁情报

   

   反病毒实验建立威胁情报监控平台，可实时监控、探索、挖掘互联网安全威胁情报，实时向公众讲述网络安全风险，可在腾讯计算机管家官方网站上在平安舆论中获取最新信息，也可以关注腾讯反病毒实验室官方账号获取最新信息。

               

   第一章    PC端恶意程序        

   

   一、恶意程序阻挡和中毒机械量

   

   （一）恶意程序阻挡量

   

   根据腾讯反病毒实验室的统计，它停止到2018年年底，PC病毒已经被终端断14.86平均每月阻止木马病毒约1亿次1.24亿次。

   

   2018全年病毒阻挡次数波动下降，1月是今年病毒阻挡量最高的月，到达1.76亿次，12月是今年病毒阻挡量最低的月份。0.93亿次。详细数值如下：图    1。

   

       

   

   
   

   

   图    1

   

   从季度病毒阻挡数据可以看出，2018病毒整体流传得到有效控制，病毒活动逐渐收敛。详细数值如下：图    2。

               

   
   

   

   
   

   

   图    2

   

   2018每年阻止病毒数量相较于2017年同比下降25.34%，但依旧跨越2015与2016年病毒阻挡量。从数据上可以看出，2015至2017年病毒阻挡次数继续增加，甚至翻倍，2018今年首次起伏，这不仅是网络安全制造商团结攻击的效果，也是中国政府发布网络安全法、坚决、持续攻击、破坏网络黑生产团伙，预计后续病毒数量将出现波动下降趋势，网络黑客也将从网络到定点、准确攻击。详细数值如下：图    3。

               

   
   

   

   
   

   

   图    3

   

   (二)中毒机械量        

   

   停止到2018年年底，PC端年度总发现3.5亿木马病毒在次用户机械中，平均每月2920万中毒机械进行病毒查杀。年度2月中毒机械数量最低，约为2,616万次，1月中毒机械最多，约为3,419万次。详细数值如图    4。

               

   
   

   

   
   

   

   图    4

   

   2018年中毒机械数量略有下降，但下降逐渐减少。这已经从2017年Q3季度以来继续5第一季度中毒机械数量下降，说明前端用户网络环境逐渐好转。详细数值如图    5。

               

   
   

   

   
   

   

   图    5

   

   2018年相较于2017年年度中毒机械数目同比下降23.85%。在经由2017病毒流传发作一年后，重新发作回归至2015、2016年平均水平，随着越来越多的人和机构意识到网络安全的重要性，预计中毒机械将继续下降。详细数值如下：图    6。

               

   
   

   

   
   

   

   图    6

   

   二、详细分类恶意程序        

   

   (一)恶意程序类型和量级分类        

   

   根据2018年获得的病毒样本分析，木马类占病毒类型总数的目的55.92%，一年四季都是最大的病毒，每个月只会有轻微的颠簸。Adware第二大病毒类(广告软件、强制安装、网络用户隐私、弹垃圾信息等。)，占总数34.90%，总是排在第二位。后门类是第三大病毒类，占总数的目的6.58%。        

   

   从统计数据可以看出，2018全年每季度病毒的种类和排名没有改变，只有数量比例不同，都是正常颠簸的局限性。PE熏染型病毒类在每季度都泛起下降趋势，虽然下降数值异常小，但可以说明PE熏染病毒越来越少，逐渐走出主流黑客攻击。详细数值如图    7。

               

   
   

   

   
   

   

   图    7(病毒类型划分)

   

   从病毒样本的数量被划分，你可以看到图    8木马排名第一，占恶意程序总量43.64%，2018木马类城市每季度都会出现10%左右颠簸较大。排在第二位的是Adware型病毒，占总体数目的26.12%，每季度都市泛起约15%左右颠簸较大。大局限颠簸说明一些黑客团伙会在某个季度集中木马，Adware病毒将在持续一段时间后完成攻击。第三名是PE熏染病毒占总数19.16%，虽然每季度品种略有下降，但量级仍然排名第一，尽管新品种PE熏染病毒越来越少，但老病毒仍活跃在互联网上。详细数值如图    8。        

               

   
   

   

   
   

   

   图    8(样本量级划分)

   

   （2）木马类的详细分类        

   

   在最大的病毒木马类中，可分为多种类型的木马病毒。下载其他有害软件的程序，勒索软件，释放有害软件的程序，窃取个人信息，银行盗号诈骗，社交软件工具盗号，虚假反病毒软件，DDoS有害程序，如攻击软件、游戏盗号软件有害程序。        

   

   2018每季度年平均下载木马排名第一，占各种类型。32.65%，每季度颠簸不大，木马品种始终排名第一。        

   

   银行盗号诈骗病毒排名第二，占各种类型12.74%，排名每季度都会发生变化，但综合年度排名排名排名排名排名排名银盗号病毒依然是黑客的最爱。详细数值如图    9。

               

   
   

   

   
   

   

   图    9(木马种类划分)

   

   木马病毒的种类很多，说明病毒可能来自很多不同的作恶团伙，但从木马的阻挡量可以看出哪些木马病毒最活跃。从木马病毒样本的数量被划分，你可以看到图    10中排第一Dropper类木马病毒(释放有害文件木马)，占所有阻挡量37.91%，2018这类病毒在第一季度下降23%，但在接下来的三个季度回归35%以上。    

   

   勒索病毒排名第二，占所有障碍物的比例27.75%。勒索病毒在2018年依然很活跃。从木马类型漫衍和木马阻挡漫衍两个数据图的对比可以看出，Dropper虽然病毒种类没有下载类多，但在数量级上远远超过了下载类，这说明这种木马流传最广，数量最多，受害者最多。详细数值如图    10。

               

   
   

   

   
   

   

   图    10(木马量级划分)

腾讯安全发布年度反病毒报告：广东省连续五年成“中毒”第一大省

   

   （三）PE熏染病毒分类    

   

   从监测到的数据来看，熏染病毒的种类变化不大。熏染型病毒种类不多，但是用户侧仍然很活跃，2018根据每季度的数据统计，熏染病毒的排名变化仍然非常频繁，这与这类病毒的传播特征有关。    

   

   在熏染病毒中，年平均阻挡量排名第一Virut病毒占所有感染病毒的比例23.29%，这类病毒今年活跃在前四名，排名会随着其他病毒的急剧增加或急剧下降而颠簸。详细数据如图    11。    

               

   
   

   

   
   

   

   图    11

   

   由于熏制病毒不同于流行的木马病毒，熏制病毒将通过修改宿主程序代码将恶意代码寄生在宿主过程中，每个文件都被熏制（Hash，文件中数据的信息摘要)值城市变化，因此，被熏染病毒熏染的文件无法进行云查杀。        

   

   因此，杀毒引擎能否修复熏制文件反映了反病毒引擎修复熏制病毒的能力。目前，腾讯反病毒实验室的自主研究TAV反病毒引擎可以杀死和修复各种熏染病毒在国际和国内盛行。

   

   （四）非PE病毒分类        

   

   网络的非凭证PE病毒样本统计，从非PE就病毒文件类型而言，2018年年度非PE病毒平均阻挡排名第一VBS类病毒占所有病毒的比例50.65%，但从季度数据来看，病毒已经从第一季度开始了63.34%下降到第四季度38.70%。每季度都有下降，说明这类病毒首先趋同，这类病毒排名第一，也是因为这类病毒VBS病毒会熏染HTML网页并插入VBS和VBS一旦代码中包含完整的可执行文件病毒HTML网页被执行后，这种恶意将被执行VBS代码释放恶意可执行文件并加载运行。正是这种熏染特征使这种病毒始终排名第一。        

   

   排名第二的是JS类病毒占所有病毒的比例23.21%，今年每季度这类病毒20%上下颠簸，始终排名第二。详细数据如图    12。        

               

   
   

   

   
   

   

   图    12

   

   三、中毒用户区域漫衍        

   

   凭据2018年中毒PC数字统计，从都市漫衍的角度来看，每季度排名变化并不少见。互联网依然蓬勃发展，用户中毒较多，年平均排名TOP10依次是：深圳、广州、武汉、北京、重庆、成都、上海、济南、杭州、东莞。长沙排名前十。

   

   天下2018年平均阻挡病毒排名第一的将是深圳，占所有阻挡量4.48第一季度深圳的阻挡量为%3.50%，三三个季度一直在4.5%以上。第二名是广州，阻挡量占所有阻挡量。3.92%。第三名是武汉，阻挡量占所有阻挡量。3.37%.详细数据如图    13。

               

   
   

   

   
   

   

   图    13

   

   从省级地区漫衍数据来看，2018广东省年度恶意软件阻挡地域年平均漫衍排名世界第一，占所有阻挡量13.92%，广东省每季度都会跨越病毒13.2%，第三季度到达14.43%峰会，随后第四季度回调至14.18%。河南省、山东省、江苏省、浙江省、四川省一直排名前六，排名没有发生变化，但季度比例略有差异。详细信息，如图    14。

               

   
   

   

   
   

   

   图    14

   

   四、 PC端巧取豪夺病毒细节        

   

   巧取豪夺病毒以抢钱为目的，该木马计算机用户系统中的指定数据文件被恶意熏染加密，用户数据丢失。现在，大多数从国外传入中国的巧夺豪夺病毒都需要支付比特币赎金来解密。由于比特币完全匿名流通，巧夺豪夺病毒背后的幕后操作员无法跟踪手艺手段，这也使得巧夺豪夺病毒从2013年后泛起发作增进。        

   

   (1)巧取豪夺病毒阻挡量

   

   根据相关数据分析，通过图    15可见，2018年年骗类病毒阻挡最大的是Blocker，这种欺骗性病毒占据了所有欺骗性病毒的比例74.40%，此病毒在2018年前三季度快速增长后，第四季度出现下降。排名第二的是Wanna，所有欺骗性病毒6.93%.详细数据如图    15。

               

   
   

   

   
   

   

   图    15

   

   五、破绽相关病毒详情

   

   （一）破绽病毒分类详情

   

   统计2018年破绽病毒样本主要漫衍Windows、Linux、Android平台上，这3平台上的破绽病毒样本占所有破绽病毒样本的绝大多数。通过统计获得的破绽类型样本，可以看到Windows非PE到达类型的缺陷样本78.05%，PE类型破绽样本到达17.74%，Windows平台破绽样本总量可达到平台所有破绽样本总量95.79%。Linux平台破绽比例为2.19%，Android平台破绽比例为1.99%。详细数值如图    16。

               

   
   

   

   
   

   

图    16

   

   凭据2018从每季度的数据对比可以看出，Windows平台上的非PE从年头开始，类型的缺陷样本继续增加71.43%到年底86.62%，而Windows平台上的PE从年头开始，类型的破绽样本继续下降24.70%年底9.53%。Linux平台与Android平台数据颠簸。详细数值如图    17。

               

   
   

   

   
   

   

   图    17

   

       

   

   （二）Linux平台破绽病毒细节    

   

   在Linux平台上，2018每季度平均排名第一的破绽攻击样本是Exploit.Linux.Lotoor，在所有样本中62.15%，每季度实际比例均跨越50%，这种样本实际上是行使的Linux为了让黑客获得更高的系统权限，实施其他恶意操作，提高了缺陷举行权限。详细数值如图    18。

               

   
   

   

   
   

   

   图    18

   

   （三）Android平台破绽病毒细节    

   

   在Android平台上，2018每季度平均排名第一的破绽攻击样本是Exploit.AndroidOS.Lotoor，在所有样本中86.32%，此类在今年的每个季度都在延续增进，从年头的82.99%到年底的87.93%增进了4.94%。此类名字与Linux平台上的名称相同，功效也是为了提高病毒的系统权限。详细数值如图    19。

               

   
   

   

   
   

   

   图    19

   

   （四）Windows平台破绽病毒细节    

   

   2018年在网上到Windows非PE类型破绽病毒量级最大，而不是PE类型破绽病毒样本可分为多种类型的文件，其中排名第一的是OLE类，此类通常为复合文档，以office大多数文档占所有非PE破绽病毒的59.22%，此类在20182004年的四个季度有很大的颠簸，这可能与黑客攻击有关。黑客将选择在不同的季度行使几个大型僵尸网络来提出相关攻击。第二名是JS类，占所有非PE破绽病毒的31.35%，这种季度在10%左右颠簸有限。排名第三的是SWF类，通常是指Adobe的Flash缺陷，占所有非PE破绽病毒的4.41%。详细数值如图    20。

               

   
   

   

   
   

   

   图    20

   

   
   第二章    Android端恶意程序    

   

   一、恶意程序检查测量    

   

   据2018年统计， Android样本数据显示，停止2018今年年底总计已检测Android病毒样本量660万多平均每月检测Android病毒样本55万多个。Android样本全年呈下降趋势。1月是今年病毒检测量的最高月份。74万个，12月是最低月，约36万个。详细数值如下：图    21。

   

       

   

   
   

   

   图    21

   

   二、恶意程序详细分类        

   

   (一)恶意程序类型和量级分类        

   

   凭据2018全年获得Android病毒样本分析看，病毒样本分析总是排名第一PUA类(灰色软件)占病毒总量53.74%，此类在2018每季度都在50%占比浮动。SMS类为第二大病毒，占总数18.59%。Spy类别为第三大病毒，占总数5.91%。Dropper类别为第四大病毒，占总数3.72%。这四类在2018年度统计排名前四，排名没有改变。详细数值如图    22。

   

       

   

   
   

   

   图    22(病毒类型划分)

   

   从Android病毒样本的数目级上来划分，可以看到排名第一的仍然是PUA，占所有Android病毒数目的56.82%，此类整年在小幅颠簸中延续增进。排在第二位的Dropper占所有Android病毒数目的20.22%，这种类型每季度都在下降，此Dropper类病毒的主要行为是伪装成其他正常软件，在后台安装其他流氓软件，会导致用户Android各种推广软件安装在机器上。排名第三的是SMS类病毒，占所有Android病毒数目的6.85%。详细数据如图    23。        

               

   
   

   

   
   

   

   图    23(病毒量级划分)

   

   
       

   

   总结

   

   根据2018年病毒样本统计，2018年无论PC在移动终端，病毒传播的整体情况得到了有效的控制，木马病毒数量呈下降趋势，病毒活动逐渐收敛。这种效果不仅是网络安全制造商团结攻击的效果，而且是中国政府发布的网络安全法，坚决、持续的攻击破坏网络黑色生产团伙，是有组织的大型黑色生产团伙逐渐减少，使大规模生产、木马病毒减少。        

   

   随着国家对网络安全的不断指导和宣传，越来越多的用户和企业首先关注自己的网络安全，网络安全意识不断提高。因此，预计2019木马病毒和中毒用户数量将继续下降，网络安全形势将越来越好。        

   

   
   

   

   
   

   

   
   

   

   
   

木马下载器再次升级，驱动人生升级通道传播