腾讯反病毒实验室 哈勃分析系统

威胁情报态势报告

——年终总结

报告编号：2016 第 7 期

发布时间：2017 年 1 月

目录

一、 报告概述 ................................................................................................................................. 1

1． 关于我们 ........................................................................................................................... 1

2． 关于本报告 ....................................................................................................................... 1

二、 木马数据概述 ......................................................................................................................... 2

1． 敲诈者类木马概述 ........................................................................................................... 2

1.1 敲诈者木马趋势 ............................................................................................... 2

1.2 敲诈者木马区别于普通木马的特性 ............................................................... 3

1.3 新增敲诈者木马家族 ....................................................................................... 3

2． 热点事件木马概述 ........................................................................................................... 5

2.1 色播类木马爆发 ............................................................................................... 6

2.2 广告类木马趋势 ............................................................................................... 8

2.3 Fake 类木马危害性变大 .................................................................................. 8

3． 脚本病毒概述 ................................................................................................................... 9

3.1 宏病毒 ............................................................................................................. 10

3.2 HTA 木马 ........................................................................................................ 10

3.3 CHM 木马 ....................................................................................................... 11

3.4 Java Applet 木马 ............................................................................................. 11

三、 总结与建议 ........................................................................................................................... 12

1

一、报告概述

威胁情报，指的是对计算机系统（包括但不限于大型机、服务站、个人电脑、手机等移

动设备、嵌入式设备等）中，可能对使用者产生威胁的程序、数据、流量等，进行感知、识

别、提取、汇总后归纳而成的情报。

随着恶意产业的不断发展，在传统的基于恶意代码和特征的打击方式之外，基于威胁情

报的恶意威胁检测和防御的方法正在兴起，并成为近几年的热门方向。

在这个背景下，腾讯反病毒实验室哈勃分析系统推出“威胁情报态势报告”系列报告，

目的是在安全行业内交流我们对于威胁情报的认识，分享我们对于威胁情报的利用方法，同

时曝光恶意木马作恶手法和恶意产业资源，携手各安全厂商共同开展打击。

1．关于我们

腾讯反病毒实验室是腾讯旗下的安全特色团队，从“自研引擎能力、哈勃分析系统、

APT 前沿技术分析”等多个角度入手，通过建立“安全查杀能力、热点快速响应能力及病

毒样本分析”等全面、系统、一体化的防护措施，为腾讯安全实力进一步提供了强大技术支

撑。独立开发的杀毒引擎以及云引擎已经获得了 VB100、AV-C、西海岸、AV-TEST 等多家

国际著名评测机构认证，并且已被用于腾讯电脑管家和手机管家等安全产品之中。

哈勃分析系统是腾讯反病毒实验室依托多年技术积累自主研发的一套样本安全检测系

统，支持对 Windows 程序、安卓应用、文档、脚本等文件类型的分析检测。哈勃系统采用

虚拟运行环境，在该环境中使用行为激发系统诱使样本运行出与真实环境一致的动态行为，

并且对其执行过程进行完整捕获。通过重点监控其中的高可疑异常行为，同时结合行为判定、

静态特征判定、大数据学习引擎判定等多种手段，哈勃系统可以有效地识别出恶意样本。哈

勃分析系统拥有调度灵活的大规模分析集群，实现了千万级的样本日吞吐量，可以对海量样

本进行高效的筛选和识别。

2．关于本报告

本报告是哈勃分析系统发布的第 7 期威胁情报态势报告，子主题是“年终总结”。

依托于海量样本吞吐处理能力，哈勃分析系统当前每日会对真实环境中捕获到的大量样

本进行自动化分析，并且根据样本的动态行为特点，对恶意样本进行筛选、判定和分类。对

于同一家族的恶意样本而言，其在虚拟环境中运行时表现出的动态行为会存在比较高的一致

性和趋同性，因此动态行为是对这些样本进行类别、家族划分的一个重要且有效的手段。

哈勃分析系统在 2016 全年系统自动捕获的样本威胁情报中，整理并挑选了一些真实环

境中出现比较频繁、影响范围比较广泛的木马，并对它们的动态行为进行了总结和分析。

2

二、木马数据概述

1．敲诈者类木马概述

2016 年最具危害性的木马之一无疑是敲诈者木马，敲诈者木马会利用更改用户密码、

加密用户文件、锁屏等技术手段，勒索用户缴纳赎金。

1.1 敲诈者木马趋势

从 2016 年哈勃分析系统捕获到的敲诈者木马数量变化可以看出，在利益的驱使下，敲

诈者木马呈现出不断增长的态势。

图1. 敲诈者木马变化趋势

哈勃分析系统对新爆发的敲诈者木马进行持续关注，并对高热度的新型敲诈者木马进行

播报预警。

图2. 哈勃分析系统对敲诈者木马预警

3

1.2 敲诈者木马区别于普通木马的特性

总结敲诈者木马的特点，可以发现以下几点共性。

通过邮件的方式，使用大量的非 PE 载体进行传播。

使用成熟的、高强度的加密算法，对受害者电脑上的文件进行加密操作后，删除原

文件。

破坏文件恢复的一些途径，例如禁用 Windows 系统的备份和还原机制，或者在删

除文件之前向其中写入无意义数据。

展示的赎金支付说明指向暗网中的页面。

要求受害者使用比特币支付赎金。

1.3 新增敲诈者木马家族

Locky 敲诈者

Locky 是 2016 年 2 月被捕获到的一类敲诈木马。根据版本的不同，Locky 会采用不同

的传播载体，一开始依然是使用 Office 宏执行下载代码，后期的版本会使用 js、wsf 等多种

类型的脚本文件。同时，被加密的文件也会被添加.locky、.zepto、.odin、.thor 等多种不同的

扩展名。

Locky 在使用 AES 加 RSA 对文件进行加密后，会根据操作系统语言的不同，向服务器

请求不同语言的敲诈文本并进行展示。值得注意的是，在 Locky 的敲诈界面上，很快出现

了繁体中文和简体中文的敲诈内容。

图3. Locky 敲诈者木马

Petya 敲诈者

Petya 木马在 2016 年 3 月被安全厂商捕获。与其它敲诈木马不同的是，此木马首先修改

系统 MBR 引导扇区，强制重启后执行引导扇区中的恶意代码，加密硬盘数据后显示敲诈信

息，是第一个将敲诈和修改 MBR 合二为一的恶意木马。

4

图4. Petya 敲诈者木马

早期的 Petya 木马在算法的使用上有一些问题，可用的密钥的复杂度偏低，导致可以通

过暴力破解的办法枚举并找到密钥，并还原被加密的磁盘。在后期的几次更新之后，新的

Petya 木马已经修补了算法使用上的漏洞。同时，更新后的 Petya 还可以对整个磁盘和单个

文件进行加密。

针 对该早期 版本的 缺陷 ，哈勃分 析系统 特别 推出了破 解工具 的离 线版

（https://habo.qq.com/tool/detail/petya），可以帮助用户解密被该版本加密的文件。

HadesLocker 敲诈者

HadesLocker 是 10 月份新爆发的一个敲诈者木马，HadesLocker 会加密用户特定后缀名

的文件，包括本地驱动器和网络驱动器，加密后文件后缀为.~HL 外加 5 个随机字符。在支

付赎金的网站上，木马作者将其命名为 HadesLocker。

5

图5. HadesLocker 敲诈者木马

HadesLocker 是由 C#语言编写的新的敲诈勒索木马，与之前发现的 C#语言编写的木马

不一样的是，之前出现的 C#语言编写的木马只是简单地调用了一些 C#库来辅助开发，而

HadesLocker 增加了多层嵌套解密、动态反射调用等复杂手段，外加多种混淆技术。

2．热点事件木马概述

哈勃分析系统持续追踪并预警了 2016 年全年的热点事件，按时间发生顺序可整理如下。

图6. 哈勃分析系统对热点事件预警

6

2.1 色播类木马爆发

2016 年，色播类木马数量保持着有增无减的态势，并在 2016 年下半年集中爆发。

图7. 色播类木马变化趋势

色播类木马通常在引诱用户安装后，会自动或诱导用户发送 SP 扣费短信、安装推广应

用，给用户带来财产上的损失。

图8. 色播类木马分类

经统计，色播类木马最常用的图标、应用名和包名分别如下所示。可以看到，色播类木

马通常使用色情类图片和应用名来吸引、诱导用户下载安装：

7

图9. 色播类木马最常用的图标

图10. 色播类木马最常见的应用名

图11. 色播类木马最常见的包名

0.00%

1.00%

2.00%

3.00%

4.00%

5.00%

6.00%

7.00%

色播类木马最常见的应用名

0.00%

1.00%

2.00%

3.00%

4.00%

5.00%

6.00%

色播类木马最常使用的包名

8

2.2 广告类木马趋势

2016 年，广告类木马在安卓端呈现出增长的态势，在电脑端则呈现出下降的趋势。但

我们仍然不能忽视广告类木马带来的危害，因为在安卓端该类木马花样翻新，对自身进行加

固保护，已插件形式实现多个广告，使得广告形式多样化且不易暴露，在移动端给用户带来

的干扰和流量的损耗更加明显。哈勃分析系统在 3 月份对广告类木马进行了播报预警。

图12. 广告类木马变化趋势

2.3 Fake 类木马危害性变大

Fake 类木马的主要特征是伪装成正规软件诱导用户安装，偷窃用户隐私或安装推广应

用。由于 Fake 类木马披着正规软件的外套，用户很容易忽视其危害性。

图13. Fake 类木马变化趋势

Fake 类木马除了伪装成知名软件外，还会伪装成热门影视资源诱惑用用户安装。哈勃

9

分析系统在2016年发出过多次Fake类木马的预警，比如伪装成招商银行客户端、PokemonGo

等正规软件的木马，以及伪装《青云志》、《如果蜗牛有爱情》等热播剧资源的木马。

图14. 伪装成 PokemonGo 的木马

3．脚本病毒概述

脚本病毒是由脚本语言编写的病毒程序，比如 Office 宏、JavaScript、VbSript 等。2016

年最具危害性的敲诈者木马大多也通过脚本进行传播，脚本病毒的危害性不容小觑。

由于脚本语言的易用性、变形性，使得通过静态特征识别脚本病毒的效率非常低下，哈

勃分析系统通过动态运行脚本文件，监控其动态行为，可以很好的对加密、混淆、变形的脚

本病毒进行识别。下图为 2016 年哈勃分析系统对各类脚本病毒的播报预警和捕获到脚本病

毒的分类。

图15. 哈勃分析系统对脚本类木马进行预警

10

图16. 脚本类木马分类

3.1 宏病毒

在 2016 年，伴随着勒索类木马的流行，作为其传播载体的宏病毒再次受到了广泛的关

注。宏病毒通常是寄存在 Office 文档中，当文档被打开时，会执行寄存在其中的宏代码，下

载并执行恶意 payload。

宏病毒可以通过电子邮件进行 APT 攻击或网络钓鱼，因此得到了越来越多黑客的青睐，

用来传播敲诈者木马，与此同时，这个手法也开始被传统木马所借鉴，比如哈勃分析系统捕

获并分析的“盗神”木马就假称媒体插件未加载，要求用户开启宏以查看内容。

图17. “盗神”宏病毒

3.2 HTA 木马

HTA 为 HTML-Application 的缩写，可由 HTML 编写，可以方便的嵌入 IE 所支持的脚

本语言，比如 VBScript、JScript 等。HTA 是一个独立的桌面应用程序，可双击运行。一个

HTA 文件运行时可以不受浏览器安全模型的限制，它可以作为完全受信任的应用程序来执

行，权限比普通网页大的多，HTA 可能会成为今后使用更灵活的、有效逃避杀软的技术趋

势。

哈勃分析系统在 2016 年捕获到了一类利用 HTA 脚本进行传播的敲诈者木马，并及时对

11

该利用手段就行了预警。

图18. HTA 木马

3.3 CHM 木马

CHM 文件全名为编译的 HTML 帮助文件（Microsoft Compiled HTML Help），是微软提

供的一种帮助文件格式。它将 HTML 文件，图片，音频等文件编译到一个文件中，对于导

航和索引的良好支持使之常被用于帮助文件以及电子书的载体。Windows 操作系统内置的

Html Help Workshop 提供了制作与编译 CHM 文件的工具集合。

CHM 文件支持与 javascript，vbs，ActiveX 等其他语言组件之间的交互，同时，由于

CHM 文件在默认情况下是使用 Windows 内置的 hh.exe 打开，此程序并没有浏览器那样级别

的安全保护和沙盒限制措施，导致 CHM 文件中内置的脚本有可能对操作系统进行直接的操

作。

尽管以 CHM 方式传播的木马并非一种新的技术手段，但是基于 CHM 的木马有着技术

门槛低，制作简单，以及传播便利的优点，仍然被很多不法分子所使用。

图19. 哈勃分析系统捕获的 CHM 木马

3.4 Java Applet 木马

Java Applet 是一种在 Web 环境下，运行于客户端的 Java 程序组件。Applet 必须运行雨

某个特定的“容器”，这个容器可以是浏览器本身，所以 Java Applet 木马通过嵌入到 HTML

12

网页中即可进行传播，传播方式更为简洁。由于其良好的跨平台特性，可以针对不同的系统，

释放不同类型的可执行文件，传播广度也更大。

哈勃分析系统捕获并分析了一类 Java Applet 木马，该木马通过判断当前系统是 windows

还是 mac，选择释放不同的可执行文件，用于窃取用户电脑上浏览器保存的帐号密码、邮件、

视频以及各类语音交互软件的音频内容等。正是由于该木马窃取的信息种类如此的之多，哈

勃分析系统命名该类木马为“窃听狂魔”。

图20. “窃听狂魔”木马

三、总结与建议

通过对 2016 年全年捕获的威胁情报信息进行分析和统计，可以发现：敲诈者木马继续

保持着上升的态势，脚本类木马在与敲诈者木马结合后，其危害性更加严重；色播类木马继

续保持高位态势；而广告类木马则在电脑端和 android 端出现了不同的发展趋势；Fake 类木

马每每伴随着热点事件进行传播，传播性和危害性不容小觑。

腾讯反病毒实验室哈勃分析系统建议用户：

1. 始终从正规应用分发网站或官方网站下载和使用安卓应用，不要轻信小型网站、网盘分

享的文件，也不要轻信群、论坛等社交渠道推荐的应用；

2. 在搜索工具的时候要提高警惕，慎重使用，尽量不要下载试用各类非法或者不正规的应

用，避免恶意程序借助其名义进行传播。

3. 对于不放心的应用，可以使用哈勃分析系统（https://habo.qq.com/）对其进行检测，及

时发现风险；

13

图21. 哈勃分析系统首页

4. 安装并使用安全类软件，例如腾讯电脑管家，并随时留意保持其处于可用状态，例如开

启必要的安全防御措施、及时更新版本等。腾讯电脑管家是腾讯公司推出的免费安全管

理软件，能有效预防和解决计算机上常见的安全风险，并帮助用户解决各种电脑“疑难

杂症”、优化系统和网络环境，是中国综合能力最强、最稳定的安全软件。

图22. 腾讯电脑管家