2014年中国互联网暗黑世界研究报告

访客:95243  发表于:2015-01-13 16:10:46

——360 QVM Team


一、      概述:

刚刚过去的2014年,360QVM引擎在全年对近5亿台PC进行安全防护过程中发现,由于漏洞攻防在2014年逐渐抬头,各大网站接连发生数据泄露事件、手机ROOT越来越流行、APT攻击越演越烈,恶意软件作者对抗意识提高。木马病毒免杀化、灰色化趋势明显,使得流氓推广、免杀木马明显增加。

通过对查杀和拦截样本进行分析发现,QQ和阿里旺旺文件传输功能已成为目前恶意程序最常见的传播方式,通过QQ传输的可执行程序中超过14%为病毒木马;外挂类程序带病毒率超过16%,部分外挂程序带毒率超过了85%; “敲竹杠木马”成为2014年爆发的新的恶意程序类型。

QQ盗号、流氓和诱导推广、外挂和色情网站四大互联网暗黑方式已经成为侵害PC用户最主要的手段。

在此我们对四种主要互联网暗黑方式侵害用户行为进行了深入分析,以帮助用户充分了解这些灰色牟利方式的危害,从而提高安全防范意识,养成好的上网和使用电脑习惯。

二、      四大暗黑方式分析

盗号、流氓和诱导推广、外挂和黄色网站通过诱导、诈骗或者直接偷盗方式侵占用户的钱财、虚拟货币或者个人隐私数据牟利,其中流氓和诱导推广较前一年增加了8%,成为互联网灰色产业链中规模最大的牟利方式;有意思的是,超过10%的用户在访问色情网站时会忽略安全软件提示和拦截,导致最终受侵害。

1、QQ和阿里旺旺等传输与盗号安全:

QQ/旺旺传输恶意程序占比分别超过14%10%:其中通过QQ传输的恶意程序多为QQ盗号程序,而通过旺旺传输的多为网购类木马。

1)盗号的安全威胁:由于QQ、阿里旺旺等都采用了一站式服务模式,以QQ为例,使用单一的QQ账号登录,用户可以方便的使用工具类、社交类、休闲娱乐类、网购类等腾讯旗下数十种服务。一旦QQ被盗号,将会导致QQ账号沦陷,带来众多的连锁反应。2014年针对QQ的盗号攻击明显上升。从360QVM引擎每日处理的新增恶意程序来看,QQ盗号木马已经成为当前每日新增最多的免杀对抗恶意程序类型。

2)盗号程序类型分布:经过分析,超过78%QQ盗号程序为伪装型QQ粘虫。也有部分以刷钻、刷会员为名,诱骗用户输入账号密码。大多数QQ粘虫会伪装成PDFWord文档、Excel表格或图片文件的图标,多以“订单详情”、“退款单”、“XX通知”、“聚会相片”、“XX资料”等命名。用户在遇到此种类型文件时,注意留心扩展名是否为“.exe”或”. scr”,如果是的话,则千万不可运行。

3)盗号方式社工化QQ盗号方式从最早的加密解密、内存注入等技术手段逐渐向伪造QQ窗口等社工方式转变,使得杀软更加难以从行为上拦截。

2014年使用最多的QQ盗号方式为伪造QQ登录窗口、伪造QQ掉线,诱使用户重新输入密码。当出现异常的QQ登陆框或者掉线提示框时,一定要注意分辨真伪。

2、流氓推广和诱导推广:

流氓推广和诱导推广并无本质区别,只是在推广形式上略有不同。流氓推广采用静默安装方式,在用户无感知且无选择机会的情况下强行安装其他软件;诱导推广则以某种隐晦方式供用户选择,并使用多种掩饰或诱导手段迷惑用户。

1)1)流氓推广类型及软件分布:从我们对2014全年的流氓推广分析情况来看,目前最多见的流氓推广类型为播放器推广,占比超过50%

      

而在被推广的软件中,超过一半的流氓推广程序会静默安装百度杀毒和百度卫士,其次爱奇艺也有接近40%的推广概率。

2)诱导推广类型、收益、软件分布:诱导推广来源多为在线电影网站和下载站。分别对应各种类型的诱导推广电影播放器和下载站打包捆绑的软件下载器。在线电影网站一般会构造一个假的电影下载链接,实为需要推广的软件下载地址。如果用户分辨力较强,找到了真的链接的时候,又会引导用户去下载在线播放器才能观看,安装播放器的过程中也会以诱导的方式诱使用户安装推广软件。

下载站也会构造真真假假的下载按钮,假按钮指向推广软件,即便费尽周折找到了真的下载按钮,下载下来的也是下载站自己制造的一个下载器。运行之后会在安装所需软件的同时,使用诱导的方式诱使用户安装推广软件。

以该网站装机必备TOP10为例,这10款软件总下载量超过4000万。并且每一款都被该下载站的专用下载器捆绑了数个推广软件。假设只有十分之一的用户被诱导安装,该下载站从这十款软件上就可攫取数百万乃至千万元暴利。

我们分析和整理了百余款诱导推广程序,不计其它导航、游戏与购物链接等广告地址,平均每个诱导推广程序推广四个以上软件。

3)推广行为受侵害地域分布:通过统计受侵害用户所在地,得知此类推广行为以广东省最为泛滥,其次为北京、山东、江苏、上海、浙江等地区。

3、外挂类型及侵害类型分布:

我们从互联网上多个热门外挂网站提取了9612个外挂,其中包括QQ系列外挂(不含LOL/DNF2436个,魔域外挂160个,英雄联盟/DNF外挂共280个,跑跑卡丁车外挂168个,CS外挂264个,劲舞/炫舞外挂432个,西游系列游戏228个,三国系列游戏334个。其中腾讯旗下网游因用户庞大,导致外挂也极为泛滥。

1)外挂带毒比例接近17%:经360QVM工程师鉴定,其中1601个外挂包含了恶意程序或病毒木马,带毒率接近17%。我们以某一特定类型外挂带毒的数量除以此类型外挂总数,得到该类型外挂带毒率。通过分析统计得知,三国系列游戏带毒率约为30%,英雄联盟/DNF外挂带毒率约为30%QQ游戏系列的外挂的带毒率约为32%,跑跑卡丁车外挂带毒率约为50%,劲舞/炫舞外挂带毒率约为70%,反恐精英外挂带毒率约为85%。如此高的带毒比例意味着用户在使用外挂时,存在巨大的风险,远超使用其他类型程序后受侵害概率。


2)外挂程序带毒类型分布:我们详细分析了带毒外挂的具体行为,发现38%为木马程序。换言之,接近4成的带毒外挂根本不具备外挂功能,是个单纯的木马程序。

3)外挂编译语言概况:通过统计这些外挂程序编译语言得知,VC作为主流的编译语言,用户基数最多。其次易语言因编程门槛低,逐渐成为外挂作者最为亲睐的编译语言。另外VC统计数据中包含了部分自动化工具如按键精灵等。

4、色情网站收益及危害:

色情网站以诱导用户点击博彩广告分成、裸聊视频室分成、情趣用品分成、网盘利润分成构成等方式形成了庞大的灰色利益链,通过色诱、诈骗等方式直接侵害用户钱财和信息安全,更为恶劣的是通过诱导用户下载播放器,用木马方式控制用户电脑。

11个色情网站年收益过亿:以某国外网站为例,网站中充斥着大量博彩广告、裸聊视频室、情趣用品广告,该网站可以从这些广告中分成,另外每日新帖中会加入众多展示广告及弹出广告,最终的下载页面会跳转至某网盘地址,此类网盘会按下载量给资源发布者利润分成。

根据Alexa统计,该网站主域名日均访问量为770万,IP访问约43万。反查得知网站服务器下还有数十个绑定域名,真实访问量可能是此数值数倍乃至数十倍。日均更新片源386部,通过我们分析发现,平均每部片下载次数都在2万次以上。以1000次下载分成10元计,该网站每日通过网盘下载获得的收入在8万元左右,年均收入接近3000万。加之大量的赌博、裸聊、谷歌广告等,年均总收入将以亿计。

2)网聊烧钱无底洞,付费比例高达26.3%:用户通过论坛、贴吧、问答等途径提出某些问题,答案中会有众多诱导推广链接。如不慎点击,则会被引导到伪造的色情网站,下载聊天软件,最终导致利益受到侵害。

以该聊天软件为例,大多数功能需要注册VIP才可使用,通过分析我们得知,使用该聊天软件的用户付费率竟然达到了惊人的26.3%

以当前在线的45个房间为例,每个房间平均100人,付费额度为600起,仅计算当前在线会员付费的金额已经超过70万元。此类聊天软件骗案频发,危害极大。

3)伪装播放器木马信任比例超10%随着快播因传播非法视频被查封,今年下半年起出现了众多的山寨在线电影网站,以“新快播”的名义浑水摸鱼。大打擦边球的同时,侵害用户电脑安全。以某在线色情网站为例,无论用户选择什么方式都无法播放视频,最后都是以受害告终。

通过统计得知,大部分用户选择下载播放器,该播放器实则是一个远控木马。在运行的时候会被360QVM直接拦截。从我们的监控情况来看,仅仅201412月就有13万用户电脑上运行了该木马程序。然而更为惊人的是,超过10%的用户在安全软件提示病毒之后,选择了信任放行,随之电脑沦陷。部分用户在选择不安装播放器之后,将会被静默安装一系列推广软件,同样导致电脑被侵害。

三、    安全建议

面对日益隐蔽和更具有活性的侵害方式,用户需要增强安全防范意识并养成好的使用电脑和互联网的习惯:

1、 安装使用360安全卫士等安全软件,开启相应的防护功能并及时更新安全补丁,在安全软件提示病毒和安全风险后,应选择拦截并及时响应;

2、 尽量不要在公共电脑上登录自己的QQ和阿里旺旺账号,不要轻易打开其他人通过QQ和阿里旺旺发过来的可执行程序;

3、 不要主动搜索访问色情网站,不点击任何色情链接,包括QQ、微信等其他人发来的链接;

4、 不要被色情内容诱惑、欺骗,也不要轻易访问自己不熟悉的视频网站、聊天网站。


评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");