中国大陆地区PC互联网安全报告

由于工作较忙,随性更新。admin@stgod.com
前言
       根据全年的安全威胁统计数据分析,我们认为PC终端用户面临的威胁主要集中在两个方面,即传统的恶意代码问题(病毒),以及商业软件侵权问题(商业软件流氓化)。
 
       传统恶意代码问题从技术角度来看并没有本质变化,但从恶意威胁的分布来看,广告类程序、勒索类病毒等已牟利为目的的恶意软件呈飞速上升的趋势。同时,在国内很多安全厂商“重云轻本地”的大环境下,天然对“云查杀”免疫的感染型病毒等传统恶性病毒仍然活跃。
 
       软件侵权则是近些年比较突出的问题,软件捆绑、流量劫持、竞品软件间的“对攻”等问题给PC终端用户带来了很大的困扰。商业软件的覆盖率远远大于恶意代码,所以从宏观的角度来看,这些商业软件侵权对用户的伤害远远大于病毒、木马。

 

       下面,我们将通过数据来回顾下互联网安全形式。
 

1.  电脑病毒疫情和新趋势
·       图解度恶意代码趋势

         图2.1为火绒反病毒引擎对全年捕获样本的检出结果前20位。
中国大陆地区PC互联网安全报告
图2.1 火绒2015全年捕获样本检出结果Top20
 
        分别基于检出结果前20位和年度全部检出结果,对恶意威胁类型进行分析,可以分别得到以下图表:
中国大陆地区PC互联网安全报告
图2.2 基于全年检出结果的恶意威胁类型分布
 
        基于全年的检出结果,我们根据恶意代码针对的平台做了统计,得到如下图表:
中国大陆地区PC互联网安全报告
图2.3 基于全年检出结果的威胁平台分布
 
       接下来,我们逐一对年度几个较为重点安全现象进行简要分析。
 
·       威胁平台趋势变化不大
       从全年的统计数据来看,Windows平台恶意代码数量占90%,这个整体比例与往年相比没有本质变化。但脚本类恶意代码和移动端恶意代码的数量呈上升趋势。相信随着移动设备、系统和应用的普及,针对这些平台的恶意代码数量会保持上述的趋势。
 
·       广告程序直追木马病毒
       从上面的统计数据可以看到,广告软件在火绒全年的检出结果中占33%,整体数量直逼木马病毒(39%)。从过去几年的趋势来看,这个比例正呈现逐年放大的趋势。
 
       木马曾经是电脑病毒中最大分类,且目前整体上来看依然占据重要位置,但近年来随着广告类程序的增多,广告类程序几乎与木马类病毒“平分秋色”。
 
·       感染型病毒依旧活跃
       根据火绒安全情报分析系统的统计数据,每天全国有2%的PC用户受到感染型病毒感染。其中以Virus/Ramnit、Virus/Sality和Virus/Virut最为活跃。
 
       感染型病毒通过修改宿主程序代码的方式将恶意代码寄生在宿主程序中运行,这就导致了所有被感染程序文件数据均不相同,加之不少多数感染型病毒均通过多态(Polymorphism)、变形(Metamorphism)等技术对恶意代码进行伪装。这种恶意代码的伪装对“云查杀“有天然的免疫,所以在国内”云查杀“覆盖率如此高的情况下,感染型病毒依旧活跃。
 
    “云查杀”通过向用户电脑下发病毒的哈希(Hash,即文件数据内容的“信息摘要”),来实现对病毒问题的快速响应,而感染型病毒会通过将病毒代码附着于正常文件之内的方式进行感染,每个被染毒文件的哈希均不相同,因此无法通过统一的哈希来查杀被感染文件。并且,由于每个被感染的文件都是全新的、独一无二的,云端不可能预先获知,所以对于每个被感染的文件,云端响应均需要经过文件上传、文件分析后才能产生云端的哈希并下发——整个响应周期内感染型病毒可能已经完成了全盘感染。


       火绒反病毒引擎通过“虚拟沙盒技术”可以精确还原通过多态技术伪装过的恶意代码,另外通过火绒“行为沙盒”可以清晰地还原通过变形技术伪装过的恶意代码行为,可以精确地检出并清除病毒代码。
 
·       病毒针对用户“刚需”,通过社会工程学传播和隐藏
       通过火绒安全情报分析系统的统计数据我们发现,很多病毒传播者会针对用户的喜好,有针对性地伪装病毒程序的文件名,诱骗用户下载并运行。
中国大陆地区PC互联网安全报告
图2.5、伪装成游戏、外挂等用户感兴趣的程序
 
中国大陆地区PC互联网安全报告