勒索软件引领PC恶意代码威胁关注度，成为用户的噩梦

需要说明的是，我们无法确保这个统计足够精确，新增家族数的减少，并不能完全反映恶意代码的实际情况，更多的是我们过度依赖自动化命名的结果，从而对大量样本只能给出通用命名。尽管我们还在尽力维护一个完整的命名体系，但面对恶意代码数量多年的快速膨胀，以及恶意代码的开源和交易，几乎所有的安全厂商都失去了完整的基于严格编码继承性的家族命名关联跟进能力。各厂商大量采用编译器、行为等为恶意代码命名以及类似Agent这样粗糙的自动化命名，就是这种窘境的明证。而很多短小的WebShell，本身亦未有足够的信息，去判定其演进和关联。在今天，我们应该更多地在分析实践中，通过基于向量、行为之间的关系搜索，去寻觅恶意代码之间、安全事件与恶意代码之间的关系，而不是希望自动化给我们带来一切。

在2015年恶意代码家族变种数量排行榜前十名中，木马程序占六席，而其他四席被相对轻量级的Hacktool、和Grayware所占据（也有一些安全厂商将这些称为PUA，即：用户不需要的应用）。这个比例相对此前数年木马垄断排行榜的情况已经有了很大变化。在互联网经济带来更多变通道的情况下，一些攻击者的作业方式开始具有更强的隐蔽性。上榜恶意代码的主要功能是下载、捆绑、窃密、远程控制等行为，例如Trojan/Win32.Badur是一个通过向用户系统中下载、安装大量应用程序获利的木马程序，该木马会在后台下载多款推广软件，使用静默安装的方法在用户系统中安装指定的应用程序，并从软件厂商或推广人处获取利益。今年，广告程序有三个家族进入了排行榜，除AdLoad这个以行为命名的家族（家族样本未必具备同源性）外，另外两个广告程序家族都是具有亲缘性的庞大家族Eorezo和Browsefox，两个家族中带有数字签名的样本占总样本比重分别为32.9%和79.9%，它们通过与其他程序捆绑、下载网站、下载者等进行传播，其安装模式通常为静默安装，主要的功能是浏览器劫持和域名重定向，通过修改用户搜索结果显示各种在线广告公司的广告来获利。而排名第八位的恶作剧程序ArchSMS实际上是一个勒索软件，今年在全球范围内有较大规模的感染，国内感染量也非常多，它会弹出警告窗体，通知用户系统磁盘被格式化（实际上未格式化，因此我们将其暂定为恶作剧程序）等虚假消息，恐吓用户发送短信并以此进行敲诈。

图 2015年恶意代码家族变种数量排行榜

在2015年PC平台恶意代码行为分类排行榜中（HASH），以获取利益为目的的广告行为再次排在第一位，下载行为因其隐蔽性、实用性强的特点数量依然较多，捆绑行为与后门行为分列三、四位，备受关注的勒索软件位列第九位。安天CERT在2015年8月3日发布报告《揭开勒索软件的真面目》^[9]，详细地揭露了勒索软件的传播方式、勒索形式、历史演进以及相应的防御策略。而在2015年12月4日，我们又跟据敲诈软件依托JS脚本进行邮件传播的新特点，跟进发布了《邮件发送JS脚本传播敲诈者木马的分析报告》^[10]。

图 2015年PC平台恶意代码行为分类排行