火绒发布《2015安全报告》：流氓软件泛滥PC互联网

DoNews 1月28日消息 专注PC杀毒的互联网安全公司“火绒”日前发布《中国大陆地区2015年度PC互联网安全报告》。报告显示，目前对用户侵扰最大的是主流商业软件的侵权行为（商业软件流氓化、病毒化），其危害数十倍于传统病毒。而常规电脑病毒的疫情也令人担忧，传统的木马、广告类病毒和“感染型病毒”依旧猖獗泛滥，以“勒索型病毒”为代表的新病毒种类也在愈演愈烈。

从电脑病毒疫情状况而言，木马病毒（39%）和广告软件（33%）占主体，绝大部分的病毒都以牟利为目的。除传统“偷窃”、“肉鸡”等牟利方式外，近几年新出现的“勒索型”病毒日渐增多，火绒在2015年截获了高达6万多个“勒索类”新病毒。值得注意的是，传统“感染型病毒”对目前流行的“云查安全软件几乎免疫，全国每天有2%的电脑被此类病毒攻击。

相较于常规电脑病毒，商业软件的侵权行为更加困扰PC用户，“火绒安全软件”拦截到的商业软件侵权行为，数十倍于电脑病毒的攻击次数。报告中列举了部分流氓软件数据：每天有10%的用户被浏览器快捷方式被篡改，每天有8%的用户IE首页被篡改，平均每台电脑每天被强行或者诱骗捆绑安装1次软件……

报告认为，目前的商业软件已经整体“流氓化”，其通用的标准业务流程是，通过捆绑、欺骗诱导甚至电脑病毒等手段安装进用户电脑，然后通过劫持浏览器、默认首页、捆绑其它软件等方式牟利。在大家都关注移动互联网、O2O这些热门领域的时候，一些互联网公司将PC互联网看作是无人看管的“狩猎场”和“提款机”。

从技术角度来说，部分商业软件的侵权行为和电脑病毒几乎没有区别，可以说，商业软件的侵权行为就是“用电脑病毒的方式耍流氓”。而在商业软件作恶中，安全软件（防毒软件）又是主角，无论侵权行为的恶劣性还是作恶频率都远高于其他商业软件。

针对目前PC互联网流氓软件问题的改善，火绒认为这并不是技术问题，而是PC互联网行业的秩序问题，需要通过法律、行业规范和自律、媒体监督、用户监督等综合因素才能扭转目前的局面。

至于常规电脑病毒问题，除了提醒广大用户安装合格的安全软件和良好的上网习惯之外，火绒建议安全厂商承担起应有的责任，不要过分依赖“云查杀“，而是加强PC终端的防护，特别是核心反病毒引擎的研发。火绒认为，只有构筑好查杀电脑病毒的“核心防线”（反病毒引擎和系统防护）才能组织起所谓“全面”、“立体“的电脑安全防御体系。（完）

以下为PC病毒趋势详细分析：

1.威胁平台趋势变化不大：从全年统计数据来看，Windows平台恶意代码数量占90%，这个整体比例与往年相比没有本质变化。但脚本类恶意代码和移动端恶意代码的数量呈上升趋势。相信随着移动设备、系统和应用的普及，针对这些平台的恶意代码数量会保持上述的趋势。

2.广告程序直追木马病毒：从上面的统计数据可以看到，广告软件在火绒全年的检出结果中占33%，整体数量直逼木马病毒（39%）。从过去几年的趋势来看，这个比例正呈现逐年放大的趋势。木马曾经是电脑病毒中最大分类，且目前整体上来看依然占据重要位置，但近年来随着广告类程序的增多，广告类程序几乎与木马类病毒“平分秋色”。

3.感染型病毒依旧活跃：根据火绒安全情报分析系统的统计数据，每天全国有2%的PC用户受到感染型病毒感染。其中以Virus/Ramnit、Virus/Sality和Virus/Virut最为活跃。

感染型病毒通过修改宿主程序代码的方式将恶意代码寄生在宿主程序中运行，这就导致了所有被感染程序文件数据均不相同，加之不少多数感染型病毒均通过多态（Polymorphism）、变形（Metamorphism）等技术对恶意代码进行伪装。这种恶意代码的伪装对“云查杀“有天然的免疫，所以在国内”云查杀“覆盖率如此高的情况下，感染型病毒依旧活跃。

“云查杀”通过向用户电脑下发病毒的哈希（Hash，即文件数据内容的“信息摘要”），来实现对病毒问题的快速响应，而感染型病毒会通过将病毒代码附着于正常文件之内的方式进行感染，每个被染毒文件的哈希均不相同，因此无法通过统一的哈希来查杀被感染文件。

4.病毒针对用户“刚需”，通过社会工程学传播和隐藏：安全情报分析系统的统计数据发现，很多病毒传播者会针对用户的喜好，有针对性地伪装病毒程序的文件名，诱骗用户下载并运行。

5.勒索类病毒日渐频繁：近年来，随着互联网的不断发展，计算机病毒也在向着利益化发展，勒索病毒传播与发展也越来越快，越来越多。勒索病毒的出现最早可以追溯到1989年，由Joseph Popp编写的PC Cyborg病毒，该病毒会修改系统AUTOEXEC.BAT文件来监控系统启动次数，当第90次启动后就会加密系统所有文件的文件名，使系统无法正常启动以此来威胁用户付钱。