火绒安全：2015中国大陆地区PC互联网安全报告

　　图2.8是Ransom/Tescrypt病毒附带的“说明文档”，详细、“贴心”地指导受害者如何付款来解密被病毒加密的数据。

图2.8、Ransom/Tescrypt病毒”附带”的勒索“说明文档”

　　随着近年来移动端迅猛的发展，勒索病毒已经不再局限于电脑端，移动端的病毒也不断出现，比如Trojan/Android.Drokole.a，该病毒会在运行程序时，不断弹出提示以受害者浏览非法信息为借口，来要挟受害者付钱。

　　2015年火绒全年收集的勒索类病毒样本超过60000个。通过火绒病毒实时监控的拦截日志以及用户的反馈来看，通过加密文件的方式来勒索的病毒所占比例在不断上升，勒索病毒的危害也在不断增大。

　　· XcodeGhost：软件厂商的安全意识仍需加强

　　2015年9月14日，CNCERT发布了一则关于有部分iOSApp由非苹果公司官方Xcode工具编译并被植入恶意代码的预警公告。9月17日，国外某安全公司发布了第一版分析报告，接下来事件迅速升温。根据后续的调查发现，病毒作者与2015年2月25日即注册了被用作C&C服务器的icloud-analysis.com域名，并于同年3月16日在Unity3D论坛放出了第一个存储于百度云的经过污染的Xcode工具。直到事件曝光后的第5天，即2015年9月22日，病毒作者才删除经过污染的Xcode工具下载链接。经调查，至事件爆发，国内有超过4000款iOS App被感染，其中不乏微信、滴滴打车、网易云音乐等高频应用，有超过95%的国内iPhone用户被感染。

　　通过此次事件，我们不禁要问，为什么在苹果公司官方免费提供开发工具的情况下，开发者仍然选择来源不明、安全性未知的下载源?网络受限?语言不通?P2P污染?我认为根本问题在于，包括软件工程师在内的广大互联网用户群体对安全的意识是相对薄弱的，在一些“安全“软件的“威胁恐吓“加”贴心呵护“下体验并享受着”伪“安全和”假“安全。然而，有人的地方就会存在安全问题，这是一个亘古不变的话题。

2. 商业软件侵权行为(流氓软件化)的现状

　　对PC用户来说，商业软件的侵权行为(商业软件流氓化)的数量是病毒攻击的数十倍，而这些侵权行为和病毒的攻击目的都是为了牟利，更重要的是，两者的攻击方式差不多，可以说目前的流氓软件本质就是，商业软件的病毒化。

　　几乎所有大家日常能见到的主流商业软件，在推广过程中都出现过捆绑安装等行为，，其中大部分是负责推广的渠道商所为。需要指出的是，整个PC软件行业陷入混乱之中，商业软件不作恶就很难推广和生存。

　　而在商业软件作恶中，安全软件(防毒软件)又是主角，无论侵权行为的恶劣性还是频率都远高于其他商业软件。正如某用户所说的那样，“跟目前的安全软件相比，电脑病毒都不好意思叫病毒”。

　　· 商业软件推广中的侵权行为

　　图3.1是火绒安全情报分析系统基于火绒3.0测试阶段产生的数据抽样。火绒在23271台终端识别到249款软件的53965次安装行为。图3.2中，我们仅以其中识别到次数最多的国内某知名安全软件为例，图中左侧的“发起者进程”表示安装动作的发起者进程，“阻止总数”和“阻止比例”表示当火绒识别到该软件的安装行为后提示用户，用户选择阻止的次数及比例。从左侧的发起者进程名便可以得知，火绒识别到的该软件80%以上的安装行为并非出自用户意愿，而平均高达80%的阻止比例也从侧面反映了用户的意愿。

图3.1、火绒3.0测试阶段产生的数据抽样

图3.2、某知名安全软件安装行为统计

　　“病毒式”推广

　　通过火绒软件安装拦截日志，我们发现5%的商业软件推广行为是标准的病毒行为——从传统对电脑病毒的定义来说，例如注入系统进程、创建系统程序的傀儡进程等方式欺骗安全软件的拦截。下面几幅截图截取自火绒安全情报分析系统。其中“安装包路径”和“安装命令行”指的是被推广安装软件的路径信息，“访问进程”和“访问进程命令行”指代推广者进程的信息，“父进程命令行”则是推广者进程的父进程信息。

　　案例一：

　　从图3.3的拦截信息可以看出系统服务进程svchost(命令行svchost.exe –k LocalServices)试图推广安装yz_zg.exe程序，火绒识别到此安装程序为某游戏盒子软件安装程序。从拦截信息基本可以认定，这个安装推广行为是其他程序通过类似病毒技术注入到系统进程中实现的。

图3.3、某游戏盒子通过注入系统进程静默推广安装

（编辑：应用网_镇江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!