《2014年中國互聯網暗黑世界研究報告》（全文）

一、概述：剛剛過去的2014年，360QVM引擎在全年對近5億臺PC進行安全防護過程中發現，由于漏洞攻防在2014年逐漸抬頭，各大網站接連發生數據泄露事件、手機ROOT越來越流行、APT攻擊越演越烈，惡意軟件作者對抗意識提高。木馬病毒免殺化、灰色化趨勢明顯，使得流氓推廣、免殺木馬明顯增加。通過對查殺和攔截樣本進行分析發現，QQ和阿里旺旺文件傳輸功能已成為目前惡意程序最常見的傳播方式，通過QQ傳輸的可執行程序中超過14%為病毒木馬；外掛類程序帶病毒率超過16%，部分外掛程序帶毒率超過了85%；“敲竹杠木馬”成為2014年爆發的新的惡意程序類型。QQ盜號、流氓和誘導推廣、外掛和色情網站四大互聯網暗黑方式已經成為侵害PC用戶最主要的手段。在此我們對四種主要互聯網暗黑方式侵害用戶行為進行了深入分析，以幫助用戶充分了解這些灰色牟利方式的危害，從而提高安全防范意識，養成好的上網和使用電腦習慣。二、四大暗黑方式分析盜號、流氓和誘導推廣、外掛和黃色網站通過誘導、詐騙或者直接偷盜方式侵占用戶的錢財、虛擬貨幣或者個人隱私數據牟利，其中流氓和誘導推廣較前一年增加了8%，成為互聯網灰色產業鏈中規模最大的牟利方式；有意思的是，超過10%的用戶在訪問色情網站時會忽略安全軟件提示和攔截，導致最終受侵害。１、QQ和阿里旺旺等傳輸與盜號安全：QQ/旺旺傳輸惡意程序占比分別超過14%和10%：其中通過QQ傳輸的惡意程序多為QQ盜號程序，而通過旺旺傳輸的多為網購類木馬。１）盜號的安全威脅：由于QQ、阿里旺旺等都采用了一站式服務模式，以QQ為例，使用單一的QQ賬號登錄，用戶可以方便的使用工具類、社交類、休閑娛樂類、網購類等騰訊旗下數十種服務。一旦QQ被盜號，將會導致QQ賬號淪陷，帶來眾多的連鎖反應。2014年針對QQ的盜號攻擊明顯上升。從360QVM引擎每日處理的新增惡意程序來看，QQ盜號木馬已經成為當前每日新增最多的免殺對抗惡意程序類型。２）盜號程序類型分布：經過分析，超過78%的QQ盜號程序為偽裝型QQ粘蟲。也有部分以刷鉆、刷會員為名，誘騙用戶輸入賬號密碼。大多數QQ粘蟲會偽裝成PDF、Word文檔、Excel表格或圖片文件的圖標，多以“訂單詳情”、“退款單”、“XX通知”、“聚會相片”、“XX資料”等命名。用戶在遇到此種類型文件時，注意留心擴展名是否為“.exe”或”.scr”，如果是的話，則千萬不可運行。３）盜號方式社工化：QQ盜號方式從最早的加密解密、內存注入等技術手段逐漸向偽造QQ窗口等社工方式轉變，使得殺軟更加難以從行為上攔截。2014年使用最多的QQ盜號方式為偽造QQ登錄窗口、偽造QQ掉線，誘使用戶重新輸入密碼。當出現異常的QQ登陸框或者掉線提示框時，一定要注意分辨真偽。２、流氓推廣和誘導推廣：流氓推廣和誘導推廣并無本質區別，只是在推廣形式上略有不同。流氓推廣采用靜默安裝方式，在用戶無感知且無選擇機會的情況下強行安裝其他軟件；誘導推廣則以某種隱晦方式供用戶選擇，并使用多種掩飾或誘導手段迷惑用戶。１）流氓推廣類型及軟件分布：從我們對2014全年的流氓推廣分析情況來看，目前最多見的流氓推廣類型為播放器推廣，占比超過50%。而在被推廣的軟件中，超過一半的流氓推廣程序會靜默安裝百度殺毒和百度衛士，其次愛奇藝也有接近40%的推廣概率。2）誘導推廣類型、收益、軟件分布：誘導推廣來源多為在線電影網站和下載站。分別對應各種類型的誘導推廣電影播放器和下載站打包捆綁的軟件下載器。在線電影網站一般會構造一個假的電影下載鏈接，實為需要推廣的軟件下載地址。如果用戶分辨力較強，找到了真的鏈接的時候，又會引導用戶去下載在線播放器才能觀看，安裝播放器的過程中也會以誘導的方式誘使用戶安裝推廣軟件。下載站也會構造真真假假的下載按鈕，假按鈕指向推廣軟件，即便費盡周折找到了真的下載按鈕，下載下來的也是下載站自己制造的一個下載器。運行之后會在安裝所需軟件的同時，使用誘導的方式誘使用戶安裝推廣軟件。以該網站裝機必備TOP10為例，這10款軟件總下載量超過4000萬。并且每一款都被該下載站的專用下載器捆綁了數個推廣軟件。假設只有十分之一的用戶被誘導安裝，該下載站從這十款軟件上就可攫取數百萬乃至千萬元暴利。我們分析和整理了百余款誘導推廣程序，不計其它導航、游戲與購物鏈接等廣告地址，平均每個誘導推廣程序推廣四個以上軟件。3）推廣行為受侵害地域分布：通過統計受侵害用戶所在地，得知此類推廣行為以廣東省最為泛濫，其次為北京、山東、江蘇、上海、浙江等地區。３、外掛類型及侵害類型分布：我們從互聯網上多個熱門外掛網站提取了9612個外掛，其中包括QQ系列外掛（不含LOL/DNF）2436個，魔域外掛160個，英雄聯盟/DNF外掛共280個，跑跑卡丁車外掛168個，CS外掛264個，勁舞/炫舞外掛432個，西游系列游戲228個，三國系列游戲334個。其中騰訊旗下網游因用戶龐大，導致外掛也極為泛濫。１）外掛帶毒比例接近17%：經360QVM工程師鑒定，其中1601個外掛包含了惡意程序或病毒木馬，帶毒率接近17%。我們以某一特定類型外掛帶毒的數量除以此類型外掛總數，得到該類型外掛帶毒率。通過分析統計得知，三國系列游戲帶毒率約為30%，英雄聯盟/DNF外掛帶毒率約為30%，QQ游戲系列的外掛的帶毒率約為32%，跑跑卡丁車外掛帶毒率約為50%，勁舞/炫舞外掛帶毒率約為70%，反恐精英外掛帶毒率約為85%。如此高的帶毒比例意味著用戶在使用外掛時，存在巨大的風險，遠超使用其他類型程序后受侵害概率。2）外掛程序帶毒類型分布：我們詳細分析了帶毒外掛的具體行為，發現38%為木馬程序。換言之，接近4成的帶毒外掛根本不具備外掛功能，是個單純的木馬程序。3）外掛編譯語言概況：通過統計這些外掛程序編譯語言得知，VC作為主流的編譯語言，用戶基數最多。其次易語言因編程門檻低，逐漸成為外掛作者最為親睞的編譯語言。另外VC統計數據中包含了部分自動化工具如按鍵精靈等。4、色情網站收益及危害：色情網站以誘導用戶點擊博彩廣告分成、裸聊視頻室分成、情趣用品分成、網盤利潤分成構成等方式形成了龐大的灰色利益鏈，通過色誘、詐騙等方式直接侵害用戶錢財和信息安全，更為惡劣的是通過誘導用戶下載播放器，用木馬方式控制用戶電腦。1）1個色情網站年收益過億：以某國外網站為例，網站中充斥著大量博彩廣告、裸聊視頻室、情趣用品廣告，該網站可以從這些廣告中分成，另外每日新帖中會加入眾多展示廣告及彈出廣告，最終的下載頁面會跳轉至某網盤地址，此類網盤會按下載量給資源發布者利潤分成。根據Alexa統計，該網站主域名日均訪問量為770萬，IP訪問約43萬。反查得知網站服務器下還有數十個綁定域名，真實訪問量可能是此數值數倍乃至數十倍。日均更新片源386部，通過我們分析發現，平均每部片下載次數都在2萬次以上。以1000次下載分成10元計，該網站每日通過網盤下載獲得的收入在8萬元左右，年均收入接近3000萬。加之大量的賭博、裸聊、谷歌廣告等，年均總收入將以億計。2）網聊燒錢無底洞，付費比例高達26.3%：用戶通過論壇、貼吧、問答等途徑提出某些問題，答案中會有眾多誘導推廣鏈接。如不慎點擊，則會被引導到偽造的色情網站，下載聊天軟件，最終導致利益受到侵害。以該聊天軟件為例，大多數功能需要注冊VIP才可使用，通過分析我們得知，使用該聊天軟件的用戶付費率竟然達到了驚人的26.3%。以當前在線的45個房間為例，每個房間平均100人，付費額度為600起，僅計算當前在線會員付費的金額已經超過70萬元。此類聊天軟件騙案頻發，危害極大。3）偽裝播放器木馬信任比例超10%：隨著快播因傳播非法視頻被查封，今年下半年起出現了眾多的山寨在線電影網站，以“新快播”的名義渾水摸魚。大打擦邊球的同時，侵害用戶電腦安全。以某在線色情網站為例，無論用戶選擇什么方式都無法播放視頻，最后都是以受害告終。通過統計得知，大部分用戶選擇下載播放器，該播放器實則是一個遠控木馬。在運行的時候會被360QVM直接攔截。從我們的監控情況來看，僅僅2014年12月就有13萬用戶電腦上運行了該木馬程序。然而更為驚人的是，超過10%的用戶在安全軟件提示病毒之后，選擇了信任放行，隨之電腦淪陷。部分用戶在選擇不安裝播放器之后，將會被靜默安裝一系列推廣軟件，同樣導致電腦被侵害。三、安全建議面對日益隱蔽和更具有活性的侵害方式，用戶需要增強安全防范意識并養成好的使用電腦和互聯網的習慣：1、安裝使用360安全衛士等安全軟件，開啟相應的防護功能并