2017顽固木马盘点:第三方下载站成“重灾区”

2018-01-26 14:57:20来源:威易网作者:
    近年来,黑产团伙开始在软件供应链、盗版系统等多个环节大规模植入Bootkit或Rootkit类木马,这类木马特征是采用传统查杀方法无法根除,且部分具有极强的破坏性,为普通网民的系统安全构成了严重威胁。
      近年来,黑产团伙开始在软件供应链、盗版系统等多个环节大规模植入Bootkit或Rootkit类木马,这类木马特征是采用传统查杀方法无法根除,且部分具有极强的破坏性,为普通网民的系统安全构成了严重威胁。继腾讯安全《2017年度齐乐娱乐安全报告》发布之后,近日腾讯电脑管家再次针对顽固型木马发布了《2017年顽固木马盘点报告》(下简称报告),从传播渠道、影响范围、获利方式等多个维度向大众全方位盘点了Bootkit、Rootkit类顽固木马,并对防范措施提出了有效安全建议。 Rootkit木马“钟爱”热搜,挖矿获利渐成趋势 Rootkit是指一类潜伏在系统中并具备高控制权限的木马。2017年腾讯电脑管家披露了多起重要Rootkit感染事件,如狼人杀木马、奔雷木马、小马激活木马等。基于拦截木马的感染源特征,腾讯电脑管家发现,Rootkit木马传播呈现出蹭热点的特点,比如捆绑在热搜影视剧下载资源、热门游戏外挂辅助上进行传播等。也会利用搜索引擎竞价推广,出现在靠前的搜索显示页上诱导用户点击下载。 在传播渠道方面,报告显示,Rootkit类木马主要传播渠道包括激活工具类软件、下载站高速下载器、私服登录器、第三方软件释放等。其中下载站高速下载器占比最高(20%),其次为激活工具类软件、外挂及私服登录器各占比15%。 \ 感染用户机器后,Rootkit的变现获利方式较为多元化。报告显示,Rootkit的主要的变现获利方式有刷流量、锁主页、恶意推广、网络攻击、挖矿等。其中锁主页仍然是最主要的变现方式,占比高达38%。另外通过挖矿获利也逐渐增多(占比8%),似乎逐渐成为一种趋势。 \ Bootkit木马影响机器数百万,下载站高速下载器成“幕后黑手” Bootkit木马是指在系统开启阶段(boot)就已植入的Rootkit木马,可以认为Boot和Rootkit木马的集成。 和APT攻击中用户是被动攻击中招不同,Bootkit木马感染用户机器更多的是用户的主动行为导致的,比如用户到一些第三方下载站下载软件时使用高速下载通道,或者在玩游戏时使用游戏辅助,私服登录器等,都有可能被捆绑恶意木马。 其中,下载站高速下载器危害最为严重。据报告显示,在2017年Bootkit木马主要传播渠道中,下载站高速下载器占比最高,达到37%。相对其他传播渠道而言,下载站拥有更大的受众,流量更广,因而影响也更大。以异鬼系列Bootkit木马为例,2017年7月腾讯电脑管家拦截到“异鬼Ⅱ”木马,影响用户电脑达到200万台,下载站高速下载器就是其中的重要推手。 \ 在获利方式方面,报告显示Bootkit木马主要有五种获利方式:刷流量、锁主页、恶意推广、网络攻击等。其中通过刷流量及网络攻击实现获利的占比最高,达到29%。 \ 面对严峻的顽固木马形势,腾讯电脑管家早在2016 年9月1日的12.0版本更新中,就增强了云主防及病毒木马查杀“三利剑”——BootClean清除技术、Rootkit通杀、系统急救箱的查杀能力,可以实现对病毒样本高危行为的精准拦截及查杀。 网安建设成效凸显,2017年用户染毒量下降态势明显 事实上,尽管顽固木马仍是危及用户的一大隐患,但随着齐乐娱乐安全厂商对于病毒查杀技术的不断提升,2017年整体病毒形势已有了明显改善。据《2017年度齐乐娱乐安全报告》显示,2017年腾讯电脑管家共发现6.3亿台用户机器中病毒或木马,相较2016年同比下降23.2%;2017年新发现病毒数量更是打破近六年来持续上涨的走势,首次出现下降趋势。 \ 移动端病毒的下降趋势更为显著。《2017年度齐乐娱乐安全报告》显示,腾讯手机管家在2017年截获的Android新增支付类病毒包数同比下降八成;手机病毒感染用户总数为1.88亿,相较2016年同比下降62.4%。 \ 腾讯电脑管家技术专家表示,当前安全厂商在反病毒工作上已取得显著成效,但用户本身也需提高安全意识,养成良好的电脑、手机使用习惯,才能更有效的防御木马病毒感染侵袭。报告建议:用户需及时更新安装补丁,防止各种类型漏洞攻击;下载软件时到官方网址下载,同时使用正版软件;不要打开陌生的网页链接,文档等,到正规渠道下载影视等热搜资源;保持腾讯电脑管家等安全软件始终处于运行状态,可有效防止用户电脑被木马入侵。
 
关键词:腾讯木马

赞助商链接:

齐乐娱乐