腾讯安全 2016 年度互联网安全报告 -...

腾讯安全 2016年度互联网安全报告

报告数据源自腾讯安全联合实验室 1



目录

一、前言：网络安全面面观

1.1 2016 年五大网络安全事件盘点

1.2 《网络安全法》让网络安全有法可依

1.3 各方携手推进网络安全社会共治

二、中国网民扫描：总数 7.1 亿

2.1 网民规模高达 7.1 亿，手机网民占 92.5%

2.2 手机支付用户 4.24 亿，占比继续提高

三、网络病毒威胁持续攀升

3.1 新发现 PC 病毒 1.48 亿，流氓软件和盗号木马风险高

3.2 手机病毒感染用户数达 5 亿，广东省多

3.3 手机支付病毒包占总病毒包 2.39%，广东省第一

四、垃圾短信超 10 亿，广告类占 8 成

4.1 全年共举报垃圾短信 10.7 亿次

4.2 广告类占比高达 80.56%

4.3 诈骗短信中非法贷款占比 17.53%

4.4 北京市垃圾短信泛滥

五、骚扰电话与诈骗电话持续增加

5.1 全年用户标记骚扰电话 5.96 亿次

5.2 诈骗电话占比 24.39%

5.3 深圳市用户标记骚扰电话多

六、2016 热门木马、病毒和诈骗盘点



6.1 五大木马病毒：盗取聊天记录、敲诈勒索

6.2 五大手机：窃取短信、锁死手机

6.3 十大电信诈骗：高骗走 1760 万

七、2017 年网络安全趋势分析与防范建议

7.1 2017 年网络安全趋势分析

7.2 腾讯安全联合实验室安全专家建议



一、前言：网络安全面面观

互联网+时代，人、物、商业全都联网，这给世界带来巨大改变。在这个时代，网络安全就

变得比任何时候都重要，没有网络安全的“互联网+”就是空中楼阁。

2016 年，发生了许多震惊全球的网络安全事件，比如，让人痛心的徐玉玉被骗身亡案、希

拉里邮件门、美国断网事件等等。这些重大安全事件再次敲响了网络安全的警钟。此外，《中

华人民共和国网络安全法》也顺势出台，让网络安全有法可依；警方、运营商、银行、网络

服务商希望携手推进“社会共治”模式，利用大数据等先进技术手段打击网络犯罪。

腾讯作为用户数多的互联网公司之一，主动担负其保障网络安全的社会责任。2016 年腾

讯安全与产业链各方联合发起了第二届中国互联网安全领袖峰会，成立腾讯安全联合实验室

（旗下有科恩、玄武、湛泸、云鼎、反病毒、反诈骗、移动安全、共 7 大实验室），仅上

半年就向微软、Adobe、苹果、谷歌提交了 100 多个系统级漏洞。在打击电信诈骗方面，

腾讯安全发布“守护者计划”，其中鹰眼反诈骗盒子将电话诈骗损失金额下降 80%、麒麟

伪基站识别系统投入到警方打击伪基站战斗中。

此外，腾讯安全旗下手机管家、电脑管家、WiFi 管家三大终端产品，时刻保护着数亿用户

的上网、通信安全。而且在 AV-C、AV-TEST 等国际安全评测中，腾讯两大管家产品多次取

得大满贯的成绩。

1.1 2016 年度五大网络安全事件盘点

在 2016 年众多网络安全事件中，腾讯安全盘点出“五大事件”，这五大网络安全事件包含

了病毒攻击、电信诈骗、黑客攻击、信息泄露，涵盖了人们生活，生产，政治方方面面，让

我们更加认识到网络安全的重要性。

1.1.1 德国核电站因恶意程序被迫关闭

4 月，德国 Gundremmingen 核电站的计算机系统，在常规安全检测中发现了恶意程序。



核电站的操作员 RWE 为防不测，关闭了发电厂。 Gundremmingen 核电站官方发布的新

闻稿称，此恶意程序是在核电站负责燃料装卸系统的 Block B IT 网络中发现的。据说该恶

意程序仅感染了计算机的 IT 系统，而没有涉及到与核燃料交互的 ICS/SCADA 设备。核电

站表示，此设施的角色是装载和卸下核电站 Block B 的核燃料，随后将旧燃料转至存储池。

1.1.2 美国网络因恶意软件攻击大面积瘫痪

10 月，恶意软件 Mirai 控制的僵尸网络对美国域名服务器管理服务供应商 Dyn 发起 DDoS

攻击，从而导致许多网站在美国东海岸地区宕机，如 GitHub、Twitter、PayPal 等，用户

无法通过域名访问这些站点。这是迄今为止，美国严重的断网事件。

1.1.3 准大学生徐玉玉被骗学费悲愤去世

2016 年 8 月，因被诈骗电话骗走上大学的费用 9900 元，徐玉玉伤心欲绝，郁结于心，

终导致心脏骤停，虽经医院全力抢救，但仍不幸离世。徐玉玉事件引发社会热议，电信诈骗

再次成为舆论焦点。此后，高法院、高检察院、公安部共同发布了《关于办理电信网络

诈骗等刑事案件适用法律若干问题的意见》，对诈骗罪的范围及处罚做了明确的规定。

1.1.4 美国大选“邮件门”

2016 年夏季，美国民主党全国委员会、筹款委员会、竞选团队被黑客组织入侵，近 2 万封

邮件被维基解密披露。邮件显示，希拉里涉嫌抹黑竞争对手，以及可能涉嫌洗钱等财务问题。

10 月 28 日，知名黑客 KimDotcom 翻出了被希拉里删除的邮件，导致 FBI 重新开始调查

希拉里“邮件门”事件，这对于大选前夕的希拉里来说，这是一挤致命针。

1.1.5 雅虎 15 亿用户信息被盗

2016 年 5 月，一名俄国黑客成功盗取 2.723 亿电子邮箱信息，包括 4000 万个雅虎邮箱、

3300 万微软邮箱以及 2400 万个谷歌邮箱。随后该黑客将这批邮箱信息以 1 美元低廉价格

在黑市上售卖；2016 年雅虎被收购后，曝出雅虎先后共超 15 亿用户信息遭窃，涉及用户



姓名、电子邮箱、电话号码、出生日期和部分登录密码。雅虎两次信息失窃已经刷新了人类

大规模数据泄露的新记录，堪称数据泄露之牛企业。

1.2 《网络安全法》让网络安全有法可依

中国政府早就认识到网络安全对生产、生活、政治的重要性。2014 年 2 月 27 日，中央网

络安全与信息化领导小组正式成立，习近平直接担任组长。在中央网络安全和信息化领导小

组第一次会议上，习近平首次提出“网络强国”战略。

他指出，网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大

战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为

网络强国。

一直以来，中国网络安全问题都没有明确的法律法规，这让大量网络安全事件发生后面临审

判、量刑方面的难题，同时也无法为网络违法犯罪起到震慑作用。2016 年 11 月 7 日《网

络安全法》正式颁布，让中国网络安全终于有法可依，这应该是 2016 年网络安全重磅的

大事件。

《网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公

民、法人和其他组织的合法权益，促进经济社会信息化健康发展制定，自 2017 年 6 月 1

日起施行。

《网络安全法》明确了网络空间主权的原则，明确了网络产品和服务提供者的安全义务，明

确了网络运营者的安全义务。《网络安全法》进一步完善了个人信息保护规则，还建立了关

键信息基础设施安全保护制度。

1.3 各方携手推进网络安全社会共治

为彻底打击网络安全犯罪，腾讯安全率先提出了“社会共治”模式，并联合警方、运营商、

银行等推出“守护者计划”，并获得公安部、工信部、中国人民银行等多部委、多行业响应。



当前反电信网络诈中骗存在技术对抗、跨界合作、数据分享等难点，一方面网络技术的更新

带动着网络空间违法犯罪的快速发展与持续变异；而另一方面，相应的法律法规却需要长时

间的酝酿才会出台。

腾讯董事局主席马化腾呼吁，运营商、银行、网络服务商等有大量数据的企业，可以通过大

数据的方式，与这些黑产分子对抗。他还建议由国家牵头搭建具有公信力的第三方平台，大

家把各自的数据放心地放在里面进行处理。

用先进的大数据技术打击网络犯罪、电信诈骗将成为 2017 年的重大看点，“社会共治”模

式的建立也将有效保护网络安全。

二、中国网民扫描：总数 7.1 亿

2016 年 6 月我国网民总数已经达到了 7.1 亿，其中手机网民高达 6.56 亿。移动互联网的

普及，也带来了移动电商、移动支付的普及。互联网与生活、工作方方面面融合在一起，一

旦安全出了问题，就会涉及严重的财产损失。而且大量“新网民”的安全防范意识较弱，更

容易遭遇危险。

2.1 网民规模高达 7.1 亿，手机网民占 92.5%

截至 2016 年 6 月，我国网民规模达到 7.10 亿，半年共计新增网民 2132 万人，半年增长

率为 3.1%，较 2015 年下半年增长率有所提升。截至 2016 年 6 月，我国手机网民规模达

6.56 亿，较 2015 年底增加 3656 万人。网民中使用手机上网的比例由 2015 年底的 90.1%

提升至 92.5%，手机在上网设备中占据主导地位。



2.2 手机支付用户 4.24 亿占比继续提高

截至 2016 年 6 月，我国使用网上支付的用户规模达到 4.55 亿，较 2015 年底增加 3857

万人，增长率为 9.3%，我国网民使用网上支付的比例从 60.5%提升至 64.1%。手机支付用

户规模增长迅速，达到 4.24 亿，半年增长率为 18.7%，网民手机网上支付的使用比例由 57.7%

提升至 64.7%。

从以上数据分析，当前中国网民数持续攀升，互联网开始广泛普及。手机网民数占比较高，

推动移动电商、手机支付等业务的发展。同时，40 岁以上和 10 岁以下网民数有增长，意

味着移动互联网正在向更广泛的群体普及。而这群“新网民”更容易遭遇网络攻击、欺诈。



互联网已经开始渗透到生活的方方面面，特别是涉及到金融、支付，这也给网络安全提出了

更高要求。未来的移动支付、智能家居、人工智能等业务均需要建立在安全的基础之上。

三、网络病毒威胁持续攀升

随着互联网的普及以及对经济生活得全面渗透，这让病毒、木马、网络诈骗等风险不断增加。

2016 年新发现 PC 病毒数相比 2012 年增加了 67%。感染手机病毒的用户也逐月攀升，2016

年 12 月到达顶峰，比 1 月增加了 81%。

3.1 新发现 PC 病毒 1.48 亿，流氓软件和盗号木马风险高

3.1.1 2016 年电脑端新发现病毒 1.48 亿

2016 年腾讯电脑管家反病毒实验室新发现病毒 1.48 亿，比 2012 年新增了 67%。而且新

发现病毒数逐年持续攀升。

3.1.2 全年共拦截病毒次数超 47 亿

腾讯电脑管家全年拦截病毒次数超过 47 亿次，平均单月拦截近 4 亿次。5 月、6 月为拦截

病毒的高峰，分别为 5.6 亿、5.4 亿。



3.1.3 流氓软件和盗号木马的风险仍极高

全年腾讯电脑管家共拦截流氓软件机器数高达 2.9 亿次，查杀流氓软件机器数高达 3700 余

万。除了流氓软件外腾讯电脑管家还查杀 QQ 盗号木马 7656 万、检出感染 DNF 盗号木马

的机器 28 万余个、检出剑灵盗号木马 35 万、LoL 盗号木马 12 万。

3.1.4 全年共有 8.2 亿次机器中毒

腾讯电脑管家全年共发现 8.2 亿次机器中病毒或木马，平均每月为 7000 万台中病毒 PC 进

行病毒查杀。



3.1.5 网站下载、流氓软件占木马传播渠道 5 成以上

在木马传播渠道中，网站下载占比 28.6%、流氓软件推广占比24.8%、邮件传播占比15.9%、

网络挂马占比 13.3%、即时通信占比 5.7%、网吧传播占比 4.6%、装机渠道占比 2.9%、硬

件媒介占比 1.8%。用户应该尽可能减少从非安全站点下载软件、文件、视频、图片等，特

别是一些号称破解版的软件。

3.1.6 全年新增钓鱼网址 4.4 亿以诱导用户支付为主

随着移动支付的普及，以诱导用户发生网络支付为主要目的的诈骗手法越来越多，其中以兼



职诈骗、色情诱导支付、赌博诱导支付为主。

①兼职返现诈骗是一种以返现为诱饵，诱导用户去购物平台下单、支付的诈骗手法，诈骗团

伙一般会构造一个山寨的京东、天猫、唯品会网站，通过返现诱导用户去平台刷单购物，单

个用户的涉案金额在几千到几万元不等；

②色情诱导支付一般通过播放一小段色情视频，诱导用户注册会员继续观看来实施诈骗。此

类网站传播广，影响范围大，高峰期一天传播上亿次，单个用户涉案金额小，一般在几十块。

③赌博诱导支付一般是非法的博彩赌博平台，利用用户的贪婪，诱导用户去平台注册赌博，



平台往往以各类理由拒绝用户提现；随着手机支付的普及，越来越多的赌博平台支持手机支

付；此类诈骗涉案金额大，单个用户可能会投入数十万。

3.1.7 中毒电脑用户集中在 11-30 岁的男性

从数据看，中毒电脑用户的年龄主要为 11 到 30 岁的青少年群体，特别是 11 至 20 岁的少

年电脑用户占比高达 55.58%，他们主要集中在中学生、大学生。其中，男性用户占比高达

84.16%、女性占比 13.18%。



3.1.8 超 1 成中毒 PC 来自广东省

在所有中毒机器中，广东省的机器占比高达 10.73%、山东省占比 7.99%、江苏省占比 7.56%、

河南省占比 6.74%、浙江省占比 5.98%、四川省占比 5.02%、河北省 4.75%、湖南省 3.65%、

北京 3.6%、黑龙江 3.44%，中毒机器 TOP10 省份也是网民用户多的 10 大省市。

3.2 手机病毒感染用户数达 5 亿，广东省最多

3.2.1 手机病毒感染用户数达 5 亿

2016 年，手机病毒感染用户数同比增长 62.43%，总数达 5 亿人次，创下历年新高。2016

年 12 月，感染手机病毒安卓用户数 5692 万，比 1 月份的 3117 万增加了 81%。



3.2.2 全年检出手机病毒 6682 万次

全年腾讯手机管家共检出病毒 6682 万次，基本呈现逐月增加趋势。

3.2.3 静默删除短信类手机病毒占比最高

分析病毒特征发现，手机病毒爱删除短信，这一类型占比高达 76.76%。其次是执行反射

占比 67.74%、隐藏图标占比 65.16%、静默发送短信占比 56.88%、隐私数据上传占比

50.96%。

3.2.4 84.24%的手机病毒属于资源消耗类病毒

资源消耗类病毒占比第一，高达 84.24%，主要表现为常驻手机内存、自启动、联网、发送



短信等。

3.2.5 电子市场成手机病毒主要传播渠道

2016 年手机病毒渠道来源主要分为七大类，分别是电子市场、软件捆绑、手机资源站、手

机论坛、网盘传播、二维码和 ROM 内置，其中电子市场病毒传播比例也高，占比 22.51%。

虽然正规大型电子市场基本都接入了手机安全厂商的病毒查杀引擎，大部分手机病毒在上线

之前即可被检测出来，无法上架传播，但不少中小型电子市场仍存在不规范的现象。



3.2.6 手机病毒省份 TOP10，广东第一

在感染手机病毒的设备中，广东省占比 13.3%、河南省占 7.2%、浙江省 6%、江苏省 5.8%、

山东省 5.2%、四川省 4.9%、湖南省 4.1%、河北省 4.1%、广西 3.8%、北京市 3.7%。

3.3 手机支付病毒包占总病毒包 2.39% ，广东省第一

3.3.1 全年 3444 万人感染手机支付病毒

全年共有 3444 万安卓设备感染手机支付病毒，相比 2015 年新增支付病毒包超过 45 万，

占总病毒包的 2.39%。



3.3.2 支付病毒 TOP10 省份，广东第一

在感染手机支付病毒的手机中，广东省占比 10.82%、河北省占比 9.59%、云南省占比 7.07%、

江苏省占比 6.22%、北京市占比 5.62%、四川省占比 5.18%、河南省占比 5.02%、贵州省

占比 4.9%、山东省占比 4.84%、山西省 4.65%。

四、垃圾短信超 10 亿，广告类超 8 成

4.1 全年共举报垃圾短信 10.7 亿次



腾讯手机管家用户全年共举报垃圾短信 10.7 亿次，其中诈骗短信举报数量为 1.1 亿次，占

比 10.91%。从数据走势看，垃圾短信数量呈现逐月攀升态势，特别是 11 月、12 月出现举

报垃圾短信的高峰期，这同双 11、双 12 的全民网购节、春节商家营销有着密切关系。

4.2 广告类占比高达 80.56%

在用户举报的垃圾短信中，广告类垃圾短信占比为 80.56%，位居第一。在微信等网络社交

工具普及的时代，用户的短信基本来自银行、运营商的通知短信，以及垃圾短信，其中就包

含广告类、诈骗类（8.58%）、违法类（9.83%）和其他。



4.3 诈骗短信中非法贷款占比 17.53%

在诈骗短信中，非法贷款占比高，为 17.53%。恶意网址占比 13.32%、伪基站占比 12.8%、

赌博诈骗占比 10.34%、网购占比 8.32%、热门节目中奖占比 7.2%、邮包快递占比 6.51%、

购买黄牛类占比 5.36%、冒充房东转账类占比 3.86%、高薪招聘占比 2.32%、冒充熟人亲

友占比 2.12%、色情及代孕求子占比 1.77%、冒充银行占比 1.83%。

在违法类短信中，假证、发票买卖占比高为 27.48%、非法赌博占比 17.71%、考试及学

历买卖占比 13.39%、色情内容占比 12.55%、高利贷占比 12.46%、违法物品买卖占比

11.33%、敏感信息 4.42%，此外还有低价售车、保外就医、枪支弹药。



诈骗、违法类短信也反映了当前社会的一些普遍现象，比如，非法贷款就反映出当前金融行

业资金紧张、互联网金融泛滥的现状；网购、邮包等，又反映出当前网购普及的现状。在这

些普遍性社会现象面前，手机用户容易放松警惕而导致被骗。

4.4 北京市垃圾短信最泛滥

举报垃圾短信多的城市是北京市，占比 3.75%，其次是深圳市、郑州市、温州市、广州

市、成都市、昆明市、上海市、南宁市、重庆市。

而在省份 Top10 中，广东省垃圾短信举报量第一，占比 11.36%，其次是河南省、山东省、

江苏省、浙江省、河北省、广西省、四川省、湖南省、辽宁省。



经济越发达的地区，垃圾短信数量越多，用户举报的量也就越大。因为这些区域的短信营销

活动更多，智能手机普及率更高，而且腾讯手机管家的安装量更大。

五、骚扰电话与诈骗电话持续增加

5.1 全年用户标记骚扰电话 5.96 亿次

2016 年，腾讯手机管家骚扰电话标记数 5.96 亿，同比下降 44.77%。

5.2 诈骗电话占比 24.39%

在所有标记的骚扰电话中，诈骗电话占比高为 24.39%，其次是广告推销占比 16.86%、

房产中介占比 8.97%、快递送餐占比 7.28%、出租车占比 4.39%。快递送餐、出租车都反

映出当前网络订餐、网约车市场的火爆。



5.3 深圳市用户标记骚扰电话最多

在标记骚扰电话的用户中，广东省多，其次是北京、上海、江苏、福建、山东、浙江、四

川、河南、安徽。

如果按照城市分类，用户举报骚扰电话多的十大城市分别为深圳市、广州市、成都市、东

莞市、苏州市、南宁市、武汉市、西安市、南京市、杭州市。

六、2016 热门木马、病毒和诈骗盘点

2016 年，互联网安全威胁频发，以病毒木马、手机病毒、电信网络诈骗三大类为主。



6.1 五大木马病毒：盗取聊天记录、敲诈勒索

6.1.1 黑暗幽灵木马可窃取聊天记录等各种隐私信息

该木马主要因为网络不安全导致的。一台无任何系统漏洞的机器只要连接到这些网络后，在

一段时间后会感染木马，经分析发现木马主要通过在网络上劫持替换大量软件的自动更新程

序进而感染电脑。当安装在电脑上的软件进行自动更新时，更新包被替换成木马，导致电脑

被入侵。

黑暗幽灵木马的主要特点：

①收集情报。木马功能强大，主要以信息情报收集为主，能够监控监听大量的聊天软件，收

集网络访问记录、监控 Gmail、截取屏幕、监控麦克风和摄像头等。

②对抗安全软件。木马对抗性强，能够绕过几乎全部的安全软件主动防御，重点对抗国内安

全软件，能够调用安全软件自身的接口将木马加入白名单，作者投入了大量的精力逆向研究

安全软件。

③中毒用户无感知。木马感染方式特别，通过网络劫持进行感染，主要劫持主流软件的自动

更新程序，当这些软件联网下载更新程序时在网络上用木马替换，导致用户无感中毒。

防范方法：

腾讯安全联合实验室专家建议，用户下载更新程序尽量使用 https 等安全加密的通讯协议，

对下载回来的文件在加载运行前一定要做签名校验。尽量不要使用安全性未知的网络上网，

如公共 WIFI、酒店网络等。此外安装安全软件可在一定程度上防御此类攻击，目前电脑管

家已率先查杀该木马及其变种。

6.1.2 苏克拉木马通过 Ghost 盗版系统传播

刚重装的系统就中毒了，这是很多网友常常遇到的事，这很可能是你安装的系统自带了木马。

一个名为“苏拉克”的木马通过 ghost 系统镜像下载植入到大量用户计算机中，一旦用户



使用相关镜像进行重装系统，系统安装完毕，木马就开始运行。

苏克拉木马的主要特点：

①通过 ghost 系统传播。腾讯安全反病毒实验室通过对网民常用的 ghost 系统下载网站进

行大面积地下载安装并进行分析，发现大量 ghost 系统已被“苏拉克”木马污染。木马在

此类网站投入了大量推广费，普通用户通过搜索引擎找到的前 10 个系统下载站几乎全是带

木马的，其中涵盖了“雨林木风”、“深度技术”、“电脑公司”、“萝卜家园”、“番茄

花园”等主流 ghost 系统。

②限制安全软件功能。由于“苏拉克”木马早在用户安装安全软件之前就已经进入系统，先

入为主，对随后安装的安全软件做了大量的功能限制，如安全防护无法开启、信任列表被恶

意操作等，使其难以检测和清除木马。

③锁定浏览器主页，自动下载其他木马。“苏拉克”木马不仅可以锁定浏览器主页获利，还

会实时连接云端下载其它木马，就像是率先打入安全城堡的内应，不但控制了护院的安全软

件，还从里面为病毒群敞开大门，其危害性可想而知。此外，该木马还会破坏 Windows

系统自身的安全机制，大大降低系统的安全性。

防范方法：

腾讯安全反病毒实验室对通过国内各大搜索引擎找“ghost”、“ghost xp”、“ghost win7”

等关键词排名前 10 的 ghost 镜像全部进行下载安装分析，发现 90%以上的 ghost 镜像都

是带有木马的。安全专家建议用户选择正规渠道购买、安装正版操作系统，通过下载 ghost

镜像安装系统虽然快速省事，但其安全性，确实很令人担忧。

6.1.3 暗云Ⅱ Bootkit 木马让电脑瞬间变“肉鸡”

“暗云”木马在 2016 年上半年大规模爆发，全国数十万用户电脑被感染。新发现的“暗云”

木马在模块分工、技术对抗等方面与老暗云相比有着明显的晋级特征，在强化原本的隐蔽性、



兼容性和云控外，木马运行更趋稳定，并且难以清除。因此本次爆发的木马被命名为“暗云

Ⅱ”。

“暗云Ⅱ”的主要特点：

①代码放云端实时更新。“暗云Ⅱ”将主要代码存储在云端，可实时动态更新。

②锁定浏览器主页。该木马目前主要有下载推广恶意木马、锁定浏览器主页、篡改推广导航

页 id 等恶意行为。

③让电脑变“肉鸡“。腾讯安全反病毒实验室检测到“暗云Ⅱ“正着力扩散某木马，以进行

网络攻击。一旦中招，用户电脑便会沦为“肉鸡”，无条件接受黑客的指令，攻击指定网站

服务器等。目前通过监控发现，被攻击的服务器类型主要是网游私服。

防范方法：

目前腾讯电脑管家可查杀“暗云Ⅱ”木马。普通用户也可通过以下办法来检测自己电脑是否

感染“暗云”系列木马：

一是发现安全软件报毒，清除文件后重启，电脑再次报毒；

二是打开导航、购物等网站，网址被强加推广 id；

三是发现电脑出现父进程非 services.exe 的 svchost.exe 进程。

上述任意一种情形，都是“暗云”系列木马的中毒表现，建议用户立即使用电脑管家专杀版

进行体检杀毒。

6.1.4 Peyta 敲诈木马加密文件索要金钱

有企业 HR 反映，在收到求职邮件并打开其中附件后，电脑被迫重启，重启后发现文件被加

密。若想电脑恢复正常，就要交付“电脑赎金”。HR 收到的求职简历中，实际携带了一种

新型敲诈类木马“Petya”。

Peyta 敲诈木马的主要特点：



①通过 HR 部门邮件传播。该木马定向企业 HR 部门邮箱，伪装成求职者简历文件，诱使

HR 打开文件后，给文件加密，达到敲诈获利的目的。

②诱骗用户重启电脑。受害用户打开携带病毒的邮件附件，木马即开始运行，首先修改磁盘

引导扇区，接管电脑启动流程。然后，木马强制重启电脑并显示一个虚假提示，让受害者以

为系统正在进行磁盘扫描修复，实际上该过程正是木马对磁盘文件进行加密。

③加密电脑索要赎金。加密完成后，用户无法进入系统，无法打开文件。这时候木马会显示

敲诈信息，要求受害者根据指示支付赎金，以换取密码解密磁盘。

防范方法：

腾讯安全联合实验室专家建议企业 HR 部门工作人员谨慎打开不明求职简历邮件，不要从邮

件中下载科执行文件。目前，腾讯电脑管家和哈勃分析系统已经可以对该木马进行检测和查

杀。

6.1.5 “萝莉”蠕虫主要感染《魔兽》

腾讯电脑管家发现一个可疑脚本被创建为启动项，通过分析和搜索相关信息，发现大量《魔

兽》玩家也反馈，从网上下载了魔兽地图后，在玩游戏的时候不知不觉电脑就被装了其他应

用，还会在玩游戏时跳出广告。其实，这是被萝莉”蠕虫病毒感染了。

“萝莉”蠕虫的主要特点：

①通过魔兽地图传播。蠕虫作者上传带蠕虫的魔兽地图，并以该地图创建房间吸引其他玩家

进入房间游戏；玩家进入房间后，就会自动下载该地图，并进行游戏后，触发魔兽地图里恶

意脚本。

②感染魔兽目录下的所有正常地图。当玩家重启电脑后，Loil.bat 获得执行，通过脚本下载

loli.exe 执行；Loli.exe 把玩家魔兽目录下的正常地图文件全部感染植入蠕虫。玩家在不知

情的情况下，会使用这些被感染的地图创建游戏，感染更多玩家；



③在魔兽游戏中乱弹广告。感染了魔兽地图后，会在玩家玩游戏的时候，弹出广告推广软件

牟利，很可能导致电脑安装其他木马病毒。

防范方法：

腾讯安全联合实验室专家建议，不要从非官方下载魔兽地图。腾讯电脑管家已经首发了专杀

工具，如果发现被感染，可以下载专杀工具查杀。

这五大 PC 木马通过不安全网络、热门游戏、盗版操作系统等方式进行传播，所以提醒广大

网民一定要选择安全网络，不要在论坛、网站上随意下载应用，尽可能不要使用盗版操作系

统。

6.2 五大手机病毒：窃取短信、锁死手机

6.2.1 “粗口木马”—— 偷走你的短信

“粗口木马”是上半年变种多、流传广、影响恶劣的木马病毒之一。



“粗口木马”主要特点：

①“粗口木马”是一种支付类手机病毒，依附于某应用程序中。

②通过伪基站+钓鱼网址传播。犯罪分子往往通过伪基站，伪装为运营商或银行等客服号码，

向用户发送带有钓鱼网址的短信，如：“我是 XX，市里刚下的紧急文件速看，m.ccbj**.com”。

一旦用户点开链接下载程序，就会立即激活“粗口木马”。

③窃取所有短信。该木马可以在用户无感知的情况下截获包括验证码在内的所有短信，并将

读取的短信内容发送到指定邮箱，例如：we**[email protected]，便于诈骗团伙实施用户隐私

盗取和银行卡盗刷等犯罪行为。

防范方法：

腾讯安全联合实验室专家提醒，不要在非安全电子市场下载应用，不要随意打开短信中的网

址链接。安装腾讯手机管家可以拦截伪基站发来的恶意短信和钓鱼网址链接，并可查杀该木

马。

6.2.2 Android 锁屏勒索类病毒 —— 不给钱？别解锁！

手机屏幕即被锁定，用户无法正常使用手机，中毒以后病毒还会向用户勒索钱财，有些用

户因为无法联系上作者而选择刷机，导致用户数据丢失。其实手机感染了锁屏勒索类病毒。



锁屏勒索型病毒主要特点：

①通过伪装游戏外挂等应用传播。锁机勒索型病毒主要通过伪装成游戏外挂，刷钻等人气应

用，通过 QQ 群进行传播，也会利用百度贴吧等渠道进行传播。

②锁屏后敲诈勒索。一旦中毒了，手机屏幕即被锁定，用户无法正常使用手机，中毒以后

病毒还会向用户勒索钱财，有些用户因为无法联系上作者而选择刷机，导致用户数据丢失.。

③日感染用户 8 万。进入 2016 年以后，日感染用户数在 8 万人左右，该灰色产业的日规模

可能超百万元。

防范方法：

不要在 QQ 群、百度贴吧等处下载外挂、破解，刷钻等应用。安装腾讯手机管家可防范此

类病毒。

6.2.3 开学通知书 —— 骗子给你上上课

刚一开学，家长就收到一个“学校”发来的开学通知书，并附带网址，点开后银行资金便被

盗刷。这就是知名的开学通知书病毒。

开学通知书病毒主要特点：

①诈骗短信+钓鱼网址传播。开学通知书病毒通过冒充“学校”发送的含钓鱼链接的“开学

通知书和课程”诈骗短信，攻击家长用户的手机。

②窃取短信中的隐私信息。“开学通知书”短信中的链接实际上是木马病毒，该病毒启动后

将拦截用户短信，并将短信转发给指定号码，泄漏短信中的账户或密码，比如，用于支付的

短信验证码。

防范方法：

腾讯安全联合实验室专家提醒这类专门为学生家长“量身定制”的诈骗手段还有 “学生成

绩单”、“体检报告”、“检查寒假作业”、“返还学杂费”、“帮班主任投票”等含有链



接的短信，家长不要点击任何带有网址链接的不明短信。同时，安装腾讯电脑管家可以拦截

伪基站发来的恶意短信和钓鱼网址链接，并可查杀该木马。

6.2.4 手机实名认证 —— 去登记？小心病毒！

手机收到一个手机实名认证的短信，点开里面的网址后，手机就中毒了，这就是手机实名认

证病毒。

病毒主要特点：

①通过伪基站模仿运营商官方号码。病毒短信通过伪基站模仿运营商官方号码，在短信正文

中告知用户“您好!根据国家实名制规定，你尾号 261 的号码需要更新实名登记，未登记将

暂停主叫。点击 t.cn/Rc***kV 完成补登记，退订回 T”。诱骗用户点击链接安装手机支付

病毒。

②拦截并转发短信，盗刷资金。该病毒启动后可拦截用户短信，并将短信转发给指定号码，

泄漏用户短信中的账户或密码，给手机安全造成威胁。



防范办法：

腾讯安全联合实验室专家提醒，除了手机号码的实名登记，诈骗分子还会依托银行机构或支

付平台，向用户发送含有病毒链接的实名认证类短信，用户一旦点击便可能泄露个人信息，

甚至遭受经济损失。

用户不要点击任何带有网址链接的不明短信。同时，安装腾讯手机管家可以拦截伪基站发来

的恶意短信和钓鱼网址链接，并可查杀各类手机支付病毒。

6.2.5 刷单助手？——刷的不是单，是卡！

网店的日单数通常是店铺升级的重要标准。刷单助手可以让卖家根据需要设置宝贝搜索，如

关键字、浏览器、掌柜 ID 等，以及浏览时间、货比三家等。实际上，该软件“强大”功能

背后，包含“a.gray.plugingame.f”病毒，属于外挂类软件。

病毒主要特点：

①借助双 11 等热点传播。双 11 网购节，很多店家都想刷单提高店铺销量、评价和信誉，



这也让犯罪分子看到了商机。

②不断弹窗影响手机使用。病毒启动后会申请手机 root 权限，不断弹出影响手机使用，还

可能窃取隐私。

防范方法：

腾讯安全联合实验室专家提醒广大用户，不要被“刷单”“超优惠”“一折够”等字眼迷惑，

不要下载此类软件。这五大手机病毒基本都是通过伪基站发送短信，在短信中植入恶意网址，

通过恶意网址下载病毒的方式感染手机。所以广大手机用户千万不要轻易点开手机短信中的

网址链接，好安装腾讯手机管家进行拦截和查杀。

6.3 十大电信诈骗：最高骗走 1760 万

6.3.1 假冒银行发送手机银行更新短信，女子被骗 20 万

2016 年 2 月，戴小姐收到一条“95588”发来的短信，提醒她进行手机银行更新。戴小姐

点击短信内链接，跳转的页面也和真的工商银行网银页面十分相似。戴小姐随即按照要求输

入卡号、密码还有验证码，终卡内近 20 万余额被分三次转走。

安全解读：钓鱼网站是骗子常用的诈骗手段之一，诈骗分子通常通过在短信内嵌入钓鱼链

接的形式，诱导用户进行点击。这类网站一般会仿冒银行网站、通信网站等，其外观与正版

网站极为相似，迷惑性极高，因此成功率也极高。

6.3.2 女子回复“退订”短信，所有财产全被骗走

2016 年 4 月，北京一女子收到一条 1065800 发来的短信杂志，女子在回复退订短信后，

损失了全部财产。

安全解读：在此案例中，受害者的个人信息事先通过各种渠道被泄漏，掌握信息的骗子通过

登录机主的网上营业厅提交订阅申请，之后利用机主着急退订的心理，紧接着发来钓鱼短信，

诱使机主回复“取消+验证码”，套取了系统下发给用户的真实的验证码。之后又申请了换



卡，进而确认验证码换卡成功，而后再发生更为严重的网银资产的盗取。

6.3.3 黄晓明遭遇短信诈骗，机智回应制服骗子

2016 年 5 月 18 日晚，演员黄晓明在微博晒图，自曝收到诈骗短信。“黄晓明家长，您小

孩参加联盟运动会比赛中精彩的照片，附链接校通讯（实为恶意 apk）”，引起广泛讨论。

安全解读：这类诈骗案例中，骗子通过冒充学校或学生的名义给家长发送短信,利用家长对

孩子的关心诱导安装恶意 apk。部分恶意 apk 在手机安装后，自动拦截短信窃取手机验证

码，进而通过验证码窃取用户资金，隐蔽性极强，因此成功率也极高。此类诈骗通常针对的

目标比较明确，极有可能是校讯通之类的家长用 APP 泄露了信息给黑产团伙。

6.3.4 山东临沂女孩徐玉玉被骗光学费郁结于心离世

2016 年 8 月份，一则令人心痛的消息传来，山东临沂女学生徐玉玉因学费被骗心情郁结，

导致心脏骤停去世。

安全解读：开学期已逐渐形成一个周期性的诈骗高峰期，诈骗分子通过假扮成教育部门工作

人员给被害者打电话，并告知有助学金、奖学金发放，要求被害者到 ATM 进行相关操作取

钱，在 ATM 操作过程中，诈骗分子通过下达一系列复杂指示，让受害者误操作并向诈骗分

子银行账户汇钱，终导致财产损失。

6.3.5 襄阳女子连接公共 WiFi，被骗 23.5 万

襄阳一女子因随手登录了手机搜索到的一个公共 WIFI，并用第三方快捷支付平台购买了一

张彩票而损失近 23.5 万元。

安全解读：风险 WiFi 主要存在于人流密集的公共场所，黑客通过无线路由、网卡设置发射

WiFi 热点，设置共享网络，用户在成功连接 WiFi 后，黑客通过诱导用户访问钓鱼网站、窃

取用户网络等方式获得用户的个人隐私信息（包括身份信息、网银账号密码等），终造成

损失。



6.3.6 深圳 78 岁独居老人“涉嫌走私”，被骗 1156 万

今年 8 月，深圳一位 78 岁独居老人接到电话得知其“名下有一个包裹涉嫌走私”，随即另

一个诈骗电话自称“上海市公安局”与受害人取得联系，通知受害人立即将其名下的银行卡

开通网银转账，接受安全检查，老人随后在诈骗分子的“帮助”下被骗 1156 万元。

安全解读：独居老人是诈骗分子重点侵害对象，诈骗分子通常利用其对外信息不通畅和“不

安、恐惧”的心理实施诈骗。受害者出于恐慌不安的心理，以及缺乏对信息真实性的判断力

而极易被骗。

6.3.7 清华大学老师遭“公检法”诈骗 1760 万

2016 年 8 月 29 日，中关村派出所 110 接报，海淀区蓝旗营小区清华大学一老师，被冒充

公检法人员电信诈骗人民币 1760 万元。

安全解读：假冒公检法是诈骗分子常用的手段之一，通过冒充公安机关、检察机关等单位工

作人员，告知其涉嫌走私、洗钱、贩毒等犯罪为由，要求受害人将个人银行账户中的现金转

至其他银行账户接受检查，并以此获利。清华大学老师被骗一案中，骗子假冒警察，称他漏

缴各种税款等等，各种恐吓威逼，并终顺利得逞。

6.3.8 女孩网购遇退货骗局，一小时损失 16.5 万

2016 年 11 月，女孩小林在亚马逊官网购买了一根数据线。但随后一个自称亚马逊客服的

电话却说她的订单被退货了，加上之前接到快递的电话，说有快递没有送达，因此相信了客

服，并终被骗 16.5 万。

安全解读：在网购迅速发展趋势下，骗子也紧跟热点，利用网购退款、网购系统升级和降价

低价甩卖等说辞进行诈骗，通过发送含有钓鱼网站链接的短信诱使受害者点击钓鱼链接，又

或者通过打电话诱导受害者到 ATM 进行转账，进而造成受害者的财产损失。

6.3.9 ETC 卡隔空被盗刷，交通部要求停发此类联名卡



今年 12 月，一男子用便携式 POS 机在一辆装有 ETC 的车前盗刷付款成功。男子首先在一

辆装有 ETC 的车前挡风玻璃处一贴——付款 100 元成功，然后在装有 ETC 装置的汽车挡风

玻璃前面轻轻一刷，点击确认，随即付款成功，不需要支付密码和本人签名。

安全解读： ETC 卡是市场上流通的 ETC 卡中的一种，为交通行业与银行联合发行二合一的

卡片，如有“闪付”功能且开通了“小额免密免签”功能，联名卡的银行账户则极有可能存

在此风险。为解决这一安全隐患，包括交通运输部已着手对今后 ETC 卡发行和存量联名卡

做出安排。通知要求在与银行合作发行 ETC 卡的工作中，要推进使用与银行卡账户关联却

分离的联名卡，暂停或取消发行“二合一”的 ETC 联名卡。经认真研究确有必要发行的，

应要求合作银行默认关闭“闪付”功能和“小额免密面签”服务。

6.3.10 男子冒充领导，成功骗取 7 万元

日前，厦门一男子就通过冒充领导发送短信，谎称自己手机换号，取得受害者信任后，随即

编造理由成功诈骗了 7 万元。

安全解读：“换号诈骗”作为一种新型电信诈骗手段呈现迅速蔓延趋势，这类诈骗电信通过

冒充熟人手机换号进行诈骗。骗子利用这种形式，冒充用户亲朋好友，并以换号的名义发送

短信，同时也会利用呼叫转移等方式骗取用户信任并进行诈骗。在取得信任后，骗子会进一

步编造谎言如遇到困难需要周转资金等让用户进行汇款，进而造成财产损失。

从这十大电信诈骗案件来看，诈骗分子充分结合当前时事热点设计诈骗骗术，让受害人更轻

易的上套。同时，社会工程学原理的熟练运用也让受害人难以辨别真伪。而在这些案件的源

头都存在用户信息泄露，导致了精准诈骗的发生。

因此，大家电信诈骗需要警方、银行、用户、安全企业全方位的协作配合。腾讯推出的伪基

站地图、鹰眼盒子都可以帮助警方通过技术手段锁定伪基站位置，发现和拦截诈骗电话，提

高破案效率，防范于未然。



七、2017 年网络安全趋势分析与防范建议

7.1 2017 年网络安全趋势分析

7.1.1 PC 端病毒木马变种加快，攻击方式更为多样化

①敲诈者变种加快：将出现更加多样的传播载体、变种对抗频率加快、除了网络挂马和钓鱼

邮件外可能出现其他传播渠道、可能会出现针对高价值目标的持续性攻击。

②网络挂马继续活跃：网络挂马是木马大面积传播的主要渠道，2017 年挂马攻击和安全软

件的对抗将越发激烈。

③以流氓推广、刷流量、锁主页为主的灰色产业仍将活跃，是黑灰产重要的变现渠道。

④APT 攻击更加专业：除了传统的水坑攻击和鱼叉攻击外，可能出现更多的攻击手段，如

WIFI 渗透，社工等。

⑤DDoS 攻击更加频繁，危害更大：除了传统的 PC 外，更多的物联网设备，手机等可能加

入 DDoS 攻击行列，攻击流量越来越大，危害巨大。

7.1.2 借势热点，电信网络诈骗“与时俱进”

2016 年多款大热的病毒都利用了社会热点，例如：2016 上半年肆虐的锁屏勒索病毒经常

将自己伪装成红包，热门游戏外挂、支付拦截马则经常将自己伪装成开学通知书、婚礼请帖，

双十一的时候出现大量虚假购物网站，假快递公司 APP 和春运抢票季萌芽的 12306 钓鱼网

站等事件都结合了相关社会热点。2017 年这种利用热点实施诈骗的案件会更多。

7.1.3 支付拦截木马转换传播模式

由于网络实名制的逐渐普及。大大限制了网络犯罪分子获得大量可用手机号的可能性；号码

资源的短缺也促使病毒向蠕虫式传播方向发展，实名制以后我们发现大量的支付拦截木马开

始直接利用中毒用户手机给通讯录里面的所有成员发送相关诈骗短信，在瞬间就实现爆发式

传播。对于收到的带链接的熟人短信，用户需要高度警惕切记不可随意打开。



7.1.4 打击个人信息泄露犯罪将成 2017 年重点

2016 年起，国家已经多次采取行动查处非法拨打骚扰电话的行为，其中房产中介、4s 店等

受到的惩处力度大，多名嫌疑人因涉嫌侵犯公民个人信息罪被警方采取强制措施，充分说

明个人隐私保护已经引起国家层面重视。

而且大量的诈骗案源头都是信息泄露。根据刑法修正案(九)的规定 “违反国家有关规定，

向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者

单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”依法打击个人信

息泄露犯罪成为 2017 年的重点。

7.1.5 大数据技术助力警方打击网络犯罪

2016 年，腾讯安全将自己的安全技术、安全大数据开放给整个产业链，帮助警方破获了多

个大案要案。2017 年，这种“警企”合作模式会更加成熟，大数据技术将在警方打击网络

犯罪中起到更加重要的作用。

目前，腾讯安全的伪基站实时监测系统—“麒麟伪基站实时检测系统”和“鹰眼智能反电

话诈骗系统”两款大数据反诈骗产品已经部署在全国各地公安机关，助力打击电信网络诈骗。

7.2 腾讯安全联合实验室安全专家建议

面对越来越多严重的网络安全风险，腾讯安全联合实验室专家为广大网民提供以下防范建议：

①应通过可信安全的大型渠道、电子市场或者官方网站下载安装软件，比如从腾讯电脑管家

的软件管理中下载 PC 软件，从应用宝等安全电子市场下载手机 APP。不要轻信小型论坛、

网盘或者直接搜索得到的链接，尤其是对各种绿色版、破解版、加强版软件要提高警惕。

②不要轻信各种社交媒体中流传的信息、网址链接，比如群或个人主页中的各类内容。目前

木马形式多样，可执行文件、压缩包、文档甚至网页链接都可能成为其传播的渠道，尤其是

各类节日、热门影视、热点事件相关的内容，在点击时一定要对安全性进行确认。



③有日常使用邮件处理工作需求的用户，务必留意邮件的安全性，防止访问邮件中恶意构造

的钓鱼或者挂马网页，或是让木马以邮件附件的形式传播到电脑中。

④近年来，文件加密敲诈类木马呈爆发态势，用户在防范木马发作的同时，建议定期对电脑

中的重要文件进行备份，以防止木马造成严重损失。

⑤用户应养成使用安全软件来保护电脑、手机安全的习惯，比如下载使用腾讯电脑管家等安

全类软件，开启实时防护功能，并保持软件及时更新到新版。遇到未知的文件，也可以将其

上传到腾讯哈勃分析系统进行分析，确认文件安全性。

下载安装如腾讯手机管家一类手机安全软件，定期给手机进行体检和病毒查杀，及时更新病

毒库。针对新流行肆虐危害较大并且难以清除的病毒或者漏洞，可下载专杀工具及时查杀

或修复。同时开启腾讯手机管家骚扰拦截功能，可有效拦截诈骗电话、短信，提升手机安全。

⑥切勿轻信陌生电话、短信中内容，提高防骗意识。诈骗短信形式多样化，各种新型短信木

马泛滥，通过诱惑性的短信自带病毒链接的支付类、隐私窃取类病毒迅速增长。对于“开学

通知”、“考试成绩单”、“户籍管理”、“手机实名制”、“交通违章”等病毒短信切忌

点击其中链接。不要轻信陌生电话、短信中所谓的“学校老师”、“公安机关”、“亲戚好

友”“XX 公司工作人员”，必要时进行信息核实。

⑦保护个人隐私信息，不轻易向他人透露个人信息。不轻信任何 400 电话、170、171 虚拟

运营商电话、网购客服号码、955*银行客服号、10086 运营商或陌生人打来的退款电话或

者退款短信。不要向任何陌生短信、电话透露个人账号、密码、身份证信息。收到此类短信、

电话，请务必提高警惕。

⑧二维码目前已成为主要的染毒渠道之一，不要见码就扫。手机用户好安装具备二维码恶

意网址拦截的手机安全软件进行防护，或者安装带有安全识别功能的二维码工具进行二维码

扫描，以降低二维码染毒风险。

腾讯安全 2016 年度互联网安全报告 -...

Documents