腾讯盘点2017顽固木马:木马爱蹭热点,“热搜”资源下载需谨慎

　　近年来，黑产团伙开始在软件供应链、盗版系统等多个环节大规模植入Bootkit或Rootkit类木马，这类木马特征是采用传统查杀方法无法根除，且部分具有极强的破坏性，为普通网民的系统安全构成了严重威胁。继腾讯安全《2017年度互联网安全报告》发布之后，近日腾讯电脑管家再次针对顽固型木马发布了《2017年顽固木马盘点报告》(下简称报告)，从传播渠道、影响范围、获利方式等多个维度向大众全方位盘点了Bootkit、Rootkit类顽固木马，并对防范措施提出了有效安全建议。

　　Rootkit木马“钟爱”热搜，挖矿获利渐成趋势

　　Rootkit是指一类潜伏在系统中并具备高控制权限的木马。2017年腾讯电脑管家披露了多起重要Rootkit感染事件，如狼人杀木马、奔雷木马、小马激活木马等。基于拦截木马的感染源特征，腾讯电脑管家发现，Rootkit木马传播呈现出蹭热点的特点，比如捆绑在热搜影视剧下载资源、热门游戏外挂辅助上进行传播等。也会利用搜索引擎竞价推广，出现在靠前的搜索显示页上诱导用户点击下载。

　　在传播渠道方面，报告显示，Rootkit类木马主要传播渠道包括激活工具类软件、下载站高速下载器、私服登录器、第三方软件释放等。其中下载站高速下载器占比最高(20%)，其次为激活工具类软件、外挂及私服登录器各占比15%。

　　感染用户机器后，Rootkit的变现获利方式较为多元化。报告显示，Rootkit的主要的变现获利方式有刷流量、锁主页、恶意推广、网络攻击、挖矿等。其中锁主页仍然是最主要的变现方式，占比高达38%。另外通过挖矿获利也逐渐增多(占比8%)，似乎逐渐成为一种趋势。

　　Bootkit木马影响机器数百万，下载站高速下载器成“幕后黑手”

　　Bootkit木马是指在系统开启阶段(boot)就已植入的Rootkit木马，可以认为Boot和Rootkit木马的集成。

　　和APT攻击中用户是被动攻击中招不同，Bootkit木马感染用户机器更多的是用户的主动行为导致的，比如用户到一些第三方下载站下载软件时使用高速下载通道，或者在玩游戏时使用游戏辅助，私服登录器等，都有可能被捆绑恶意木马。

　　其中，下载站高速下载器危害最为严重。据报告显示，在2017年Bootkit木马主要传播渠道中，下载站高速下载器占比最高，达到37%。相对其他传播渠道而言，下载站拥有更大的受众，流量更广，因而影响也更大。以异鬼系列Bootkit木马为例，2017年7月腾讯电脑管家拦截到“异鬼Ⅱ”木马，影响用户电脑达到200万台，下载站高速下载器就是其中的重要推手。

　　在获利方式方面，报告显示Bootkit木马主要有五种获利方式：刷流量、锁主页、恶意推广、网络攻击等。其中通过刷流量及网络攻击实现获利的占比最高，达到29%。

　　面对严峻的顽固木马形势，腾讯电脑管家早在2016年9月1日的12.0版本更新中，就增强了云主防及病毒木马查杀“三利剑”——BootClean清除技术、Rootkit通杀、系统急救箱的查杀能力，可以实现对病毒样本高危行为的精准拦截及查杀。

　　网安建设成效凸显，2017年用户染毒量下降态势明显

　　事实上，尽管顽固木马仍是危及用户的一大隐患，但随着互联网安全厂商对于病毒查杀技术的不断提升，2017年整体病毒形势已有了明显改善。据《2017年度互联网安全报告》显示，2017年腾讯电脑管家共发现6.3亿台用户机器中病毒或木马，相较2016年同比下降23.2%;2017年新发现病毒数量更是打破近六年来持续上涨的走势，首次出现下降趋势。

　　移动端病毒的下降趋势更为显著。《2017年度互联网安全报告》显示，腾讯手机管家在2017年截获的Android新增支付类病毒包数同比下降八成;手机病毒感染用户总数为1.88亿，相较2016年同比下降62.4%。

　　腾讯电脑管家技术专家表示，当前安全厂商在反病毒工作上已取得显著成效，但用户本身也需提高安全意识，养成良好的电脑、手机使用习惯，才能更有效的防御木马病毒感染侵袭。报告建议：用户需及时更新安装补丁，防止各种类型漏洞攻击;下载软件时到官方网址下载，同时使用正版软件;不要打开陌生的网页链接，文档等，到正规渠道下载影视等热搜资源;保持腾讯电脑管家等安全软件始终处于运行状态，可有效防止用户电脑被木马入侵。

　　原文标题：腾讯电脑管家发布《2017年顽固木马盘点报告》，揭示木马“牛皮癣”