《全球恶意软件威胁影响指数》报告：2017年10月最受欢迎的恶意软件

概要

根据网络安全公司Check Point最新发布的《全球恶意软件威胁指数》报告显示，今年10月，加密货币挖掘（Crypto mining）已经日益成为一种流行的恶意软件形式，且正在成为威胁环境中的重要一角。它允许在受害者的端点和网络遭受延迟和性能下降的情况下，让威胁行为者获得可观的收益。

根据Check Point的研究结果显示，加密货币挖掘脚本至少会占用受害者计算机CPU资源的65%，严重降低设备的性能。CoinHive变种已经在上月（10月）成功跻身“最受欢迎的恶意软件”第6位，足以看出网络犯罪分子对其的喜爱程度。CoinHive是一种隐藏在网站上的JavaScript程序，它通过点击访问者电脑的处理能力来挖掘monero的能力。

从今年9月开始，RoughTed和Locky两款恶意软件就一直雄踞前两名不变。然而，在10月份的前三名榜单中出现了一个新的技术：Seamless流量分配系统（Traffic Distribution System，简称TDS）。据悉，Seamless会默默地将受害者重定向到恶意网页中，使其被漏洞利用工具包感染，感染成功后，攻击者就会将其他恶意软件下载到目标设备上。

毫无疑问，这种新型恶意软件的出现，凸显了对高级威胁防御技术的需求。这涉及一个多层次的网络安全策略，能够有效防止已知的恶意软件家族以及全新的零日威胁。

Top10最受欢迎的恶意软件

（箭头表示与9月份相比的变化趋势，↔表示持平；↑上升；↓下降）

↔RoughTed——大规模的恶意广告活动。攻击者通过RoughTed可以绕过广告拦截器，传递各种有效载荷，例如骗局、漏洞利用和恶意软件。此外，它还可以用于攻击任何类型的平台和操作系统，并利用广告拦截器旁路和指纹识别，以试图确保标记是来自RoughTed感染域名的服务内容。

↔Locky——勒索软件，于 2016 年2月开始发行，主要通过包含伪装成Word或Zip附件的下载器的垃圾邮件进行传播，然后下载并安装用来加密用户文件的恶意软件，通过RSA-2048和AES-128算法对100多种文件类型进行加密。

↑Seamless——流量分配系统（TDS），通过使用TDS技术将受害者重定向到恶意网页中，致其被漏洞利用工具包感染，感染过程完成后，将允许攻击者从目标服务器下载更多的恶意软件。

↔Conficker——Conficker是一种针对微软的Windows操作系统的计算机蠕虫病毒，Conficker病毒最早的版本出现在2008年秋季。Conficker作为一种“感染”工具，传播主要通过运行Windows系统的服务的缓冲区漏洞。不过当Conficker蠕虫病毒接收来自C＆C服务器的指令时，它们还可以下载其他恶意软件、窃取凭证或禁用安全软件。

↑Zeus——多年前出现的一款银行木马，其源代码也在几年前被泄漏。Zeus是当前许多针对桌面用户的银行木马的基础，其主要通过捕获浏览器中间人（Man-in-the-Browser，简称MitB）按键记录与样式窃取银行账户数据。

↑CoinHive——加密货币挖掘脚本（CryptoMiner），主要通过在未经用户许可的情况下，将JavaScript加密货币挖掘脚本嵌入在其网站中，当访客访问该网站时，会利用访客的计算机CPU资源来挖掘加密货币，最终导致网站访客的计算机性能下降。

↑Ramnit——银行木马，用于窃取银行凭证、FTP密码、会话记录以及其他个人数据等。Ramnit恶意代码是一个典型的VBScript蠕虫病毒，能够通过网页挂马的方式进行传播，用户在浏览器中浏览挂载该恶意代码的HTML页面后并点击加载ActiveX控件后主机就有可能受到恶意代码的感染。

↓Fireball——浏览器劫持者，可以转换为一个功能齐全的恶意软件。该恶意软件出现于今年6月份，并在随后的一段时间内成功感染了高达2.5亿台计算机设备，包括Windows和macOS。Fireball的传播使用了一种中国网民喜闻乐见的方式——捆绑。用户从网上下载安装免费软件后，捆绑的恶意软件就会安装浏览器插件控制受害者的浏览器配置，替换浏览器默认搜索引擎和主页，将之替换成一个假的搜索引擎：trotux.com。替换的假冒搜索引擎只是将用户的搜索请求重定向到雅虎或者google，但植入了追踪的像素，用来收集受害者的信息。此外，Fireball还能够监控受害者的web流量，在目标系统执行恶意代码、安装插件，甚至直接安装恶意软件，这样就能够在目标系统和网络中留下了巨大的后门。

↓Pushdo——用于感染系统的木马病毒，下载Cutwail垃圾邮件模块，也可用于安装其他第三方恶意软件。

↑Andromeda——一个模块化的bot，最原始的bot仅包含一个加载器，在其运行期间会从C&C服务器上下载相关模块和更新，它同时也拥有反虚拟机和反调试的功能，能够在受感染的计算机上提供额外的恶意软件，并且可以修改以创建不同类型的僵尸网络。

对于攻击行为者而言，10月份移动领域最受欢迎的恶意软件与9月份相比也发生了一次变化——Android勒索软件LeakerLocker出现在了第二位。

Top3最受欢迎的移动设备恶意软件

Triada——Android模块化后门程序，可将超级用户权限授予下载的恶意软件，以帮助其嵌入到系统进程中。此外，Triada也被用于在浏览器中加载的欺骗性网址。

LeakerLocker——针对Android设备的勒索软件，能够读取用户个人的敏感信息，并将其呈现给用户，随后威胁其交纳赎金，否则将会把这些信息外泄。

Hiddad——伪装成合法应用程序并将其发布在第三方应用商店的Android恶意软件。它的主要功能是显示广告，但也可以访问内置于操作系统中的关键安全细节，允许攻击者获取用户的敏感数据。