报告摘要

注：报告内数据统计均来自腾讯反病毒实验室

PC端安全情况：

Ø 截止到2017年9月底，PC端总计已拦截病毒15.2亿次，平均每月拦截木马病毒近1.7亿次，较Q2季度统计没有发生太大变化，从7月至9月整体病毒拦截次数稍有下降，从1.7亿次拦截下降到1.64亿拦截，这说明前端病毒活跃量稍有下降趋势。

Ø 截止到2017年9月底，PC端总计发现3.6亿次用户机器中木马病毒，平均每月为3,900万中毒机器进行病毒查杀，相比Q2季度统计平均数据的3,880万略有增长。

Ø 2017年Q3季度病毒样本从病毒种类上木马类占总体数量的66.77%，依然是第一大种类病毒，相比Q2季度数据53.80%增长了12.97%。Adware类为第二大病毒类，占总体数量的25.28%，但相比Q2季度的39.02%，Adware类数量有所下降，降幅达13.74%。后门类为第三大病毒类，占总体数量的5.37%，相比Q2季度的5.13%并无太大变化。

 

移动端安全情况：

Ø 2017年Q3统计Android样本数据显示，总计已检测Android病毒样本量320多万个，平均每月检测Android病毒样本110万个。

Ø 根据2017年Q3季度获取到的安卓病毒样本分析，从病毒种类上来看整体排名并没有变化，排名第一位的仍然是PUA类（灰色软件）病毒，占总体病毒量的45.11%，相比Q2季度的34.56%增长了10.55%。SMS类为第二大病毒种类，占总体数量的18.51%，相比Q2季度的13.99%增长了4.52%。Spy类为第三大病毒种类，占总体数量的4.91%，相比Q2季度的8.63%下降了3.72%。

 

Q3热点安全事件：

Ø 知名终端管理软件Xshell多个产品被植入后门

Ø 58人被抓，腾讯协助警方斩断DDoS黑产全链条

Ø 一款针对全球各领事馆和大使馆的恶意软件Gazer

Ø 出现首个Android DDoS恶意程序WireX Botnet

Ø 知名清理软件CCleaner被感染，逾200万用户受影响

前言

一、推动互联网安全发展，国家与社会共同在努力

回顾2017年7月至9月，整个Q3季度无论社会各界还是国家政府都在积极推动互联网安全发展。自6月1日《网络安全法》的全面实施，促使互联网安全产业发展进入有法可依的阶段，快速推动了整个产业的发展。

8月15日，腾讯主办以“安全新秩序 连接新机遇”为主题的第三届中国互联网安全领袖峰会在国家会议中心召开，来自全球的顶尖安全专家就金融安全、大数据与云安全、人工智能与安全伦理、安全法治治理、智能硬件与物联网安全等多个议题探讨全新环境和形势下网络安全的新秩序构建、安全连接数字经济的新发展机遇。

 

9月16日，以“网络安全为人民，网络安全靠人民”为主题的2017年国家网络安全宣传周在上海拉开帷幕。9月16日至24日在全国范围开展以宣传网络强国战略思想、国家网络安全有关法律法规和政策标准为核心的网络安全宣传周活动，这是增强广大网民网络安全意识，提升基本互联网防护技能，营造安全健康文明网络环境的公共平台。同时展现近年来我国网络安全事业取得的成就，汇集业内专家共同为网络安全进一步发展建言献策，倡导全民广泛参与网络安全建设。

二、正规软件被利用事件频发，企业安全防护需提升

在2017年Q3季度中，出现过多起正规软件厂商服务器被黑客入侵，将后门程序植入到正规软件中的事件，如Xshell事件、CCleaner事件等，在厂商并不知情的情况下，带有后门的软件推送给普通用户安装，导致数百万网民网络安全受到影响。

我们可以看到，黑客已经不再依赖于传统的系统漏洞进行大范围攻击，而是采用多种渠道并用的方式扩大病毒的传播。黑客只要通过入侵正规软件厂商的服务器，即可在短时间内让厂商的所有用户中毒，这远比黑客自己传播病毒容易得多。

这些安全事件的发生也并非偶然，这说明当前企业网络安全防护薄弱、内部IT管理混乱、员工安全风险意识不够等问题是当前企业普遍存在的，如何将这些问题一一解决，是企业管理者需要去思考并落实的首要问题。如果企业自身并没有搭建网络安全防护的能力，那就让专业的人来做专业的事，接入互联网安全公司让专业的人来为自己企业的安全发展保驾护航。

三、关于腾讯反病毒实验室

腾讯反病毒实验室作为耕耘在网络安全反病毒第一战线上的一员，有责任主动担负保障国家、民众互联网安全的社会责任。

腾讯反病毒实验室成立于2010年，始终致力于互联网安全防护、计算机与移动端恶意软件检测查杀、网络威胁情报预警等工作。通过“自研引擎能力、安全事件运营、哈勃分析平台”的“三剑合璧”，对”安全查杀能力、漏洞监测能力及病毒样本分析“提供了全面、系统、一体化的产品运营式的标准化防护，为腾讯安全实力进一步提供了强大技术支撑，也为网民构建了安全的上网环境。

实验室拥有专业的反病毒团队，在自主反病毒引擎TAV研发上深耕多年，拥有多项自主知识产权病毒检测专利。在AV-C、AV-TEST等国际安全评测中反超国际老牌杀毒软件，多次取得大满贯的成绩，这也表明中国自主研发的杀毒引擎已经达到了世界先进水平。

一、PC安全方面

腾讯电脑管家英文版连续通过VB100, ICSA等认证测试，不仅2016年以来在赛可达测试获得6次第一的成绩，更是在AV-C 2016年国际评测中作为国内唯一参测产品，5项测试A+评级，获得年度荣誉产品称号，单项奖项斩获清除测试金奖（排名第一）、检出测试银奖两项大奖，比肩卡巴斯基，比特梵德，小红伞国际知名厂商。

二、移动安全方面

在移动威胁检测能力方面，腾讯手机管家则在2016年以来AV-Test国际评测中，连续9次满分13分通过，国内独树一帜。

三、动态检测方面

反病毒实验室哈勃动态分析系统为网民提供了未知文件动态检测能力，实时帮助网民检测、分析可疑文件。

四、威胁情报方面

反病毒实验建立了威胁情报监控平台，可实时监控、探测、挖掘互联网安全威胁情报，及时向社会公众报告网络安全风险，可在腾讯电脑管家官方网站“安全舆情”中获取最新信息，也可以关注腾讯反病毒实验室公众号获取最新信息资讯。

第一章 PC端恶意程序

一、恶意程序拦截量与中毒机器量

（一）恶意程序拦截量

根据腾讯反病毒实验室统计数据显示，截止到2017年9月底，PC端总计已拦截病毒15.2亿次，平均每月拦截木马病毒近1.7亿次。每月平均拦截次数相对稳定，较Q2季度统计没有发生太大变化。

从Q3季度统计数据中可以看到从7月至9月整体病毒拦截次数稍有下降，从7月1.7亿次拦截下降到9月1.64亿拦截，这说明前端病毒活跃量稍有下降趋势。具体数值如：图 1。

图1

2017年Q3季度整体病毒拦截量约为5亿次，相较于2017年Q2季度病毒拦截量环比下降6%。具体数值如：图 2。

图2

但相较于2016年Q3季度病毒拦截量同比增长了112%，从2016年与2017年Q3季度病毒拦截量对比来看，恶意程序数量同比翻倍。具体数值如：图 3。

图3

（二）中毒机器量

截止到2017年9月底，PC端总计发现3.6亿次用户机器中木马病毒，平均每月为3,900万中毒机器进行病毒查杀，相较Q2统计平均数据的3,880万略有增长。具体数值如图 4。

图4

2017年Q3季度相比Q2季度中毒机器数略有增长，机器数量增长了3%。从Q1到Q3季度数据来看，中毒机器数在缓慢增长。具体数值如图 5。

图5

2017年Q3季度相较于2016年Q3季度中毒机器数量同比增长53%，从2014至2017年Q3数据来看，同季度中毒机器数量有明显回升迹象。具体数值如：图 6。

图6

二、恶意程序详细分类

（一）恶意程序种类及量级上的分类

2017年Q3季度根据获取到的病毒样本分析，从病毒种类上，木马类占总体数量的66.77%，依然是第一大种类病毒，相比Q2季度数据53.80%增长了12.97%。

Adware类（广告软件、强制安装、收集用户隐私、弹垃圾信息等）为第二大病毒类，占总体数量的25.28%，但相比Q2季度的39.02%，Adware类数量有所下降，降幅达13.74%。

后门类为第三大病毒类，占总体数量的5.37%，相比Q2季度的5.13%并无太大变化。

通过以上数据可以看出，相比2017年Q2季度，病毒种类及排名均无变化，仅在数量占比上有所差别。具体数值如图 7。

图7

从病毒样本的数量上来划分，可以看到图 8中排在第一位仍然是木马类，占了恶意程序总量的70.41%，相比Q2季度的36.76%增长了33.65%。

排在第二位的是PE感染型，占总体数量的12.37%。相比Q2季度数据，PE感染型病毒总量超过了Adware样本量成为第二位，而Adware下滑到了第三位，Adware样本量从Q2季度的29.12%下降到了8.35%，降幅达到20.77%。

图8

从种类上PE感染型病毒的种类并不多，只占了恶意程序种类中的0.25%，排在最后一位，但在病毒拦截量上PE感染型病毒却排在了第二位，仅次于木马类型。这与PE感染型病毒制作难度、传播特点有关。

PE感染型病毒制作难度大、黑客等编程人员需要掌握的技术多、成本高、开发时间久等因素有关。感染型病毒种类虽然不多，但是感染型病毒的传播性很大，存活时间相对也比较久，因此，种类少的PE感染型种类在样本传播量级上占了一定的比例，这也是由于感染型病毒具有感染、传播的特性。

（二）木马类的详细分类

在第一大病毒类木马类中，可以详细划分为多种类型的木马病毒。有下载其他有害软件的程序，勒索软件，释放有害软件的程序，盗取个人信息，银行盗号诈骗，社交软件工具盗号，虚假反病毒软件，DDoS攻击软件，游戏盗号软件，以及流量点击等有害程序。其中排名第一位的是下载类木马，占全部种类的45.04%。排在第二位的勒索病毒种类占到了13.40%。具体数值如图 9。

图9

木马病毒种类多只能说明病毒的变种多，其背后可能来自很多个不同的作恶团伙。但如果从木马病毒样本的数量上来划分，可以看到图 9中排在第一位是Dropper类木马病毒（释放有害文件木马），占全部拦截量的88.63%。Dropper类数据相比2017年Q2季度和68.60%，增长了20.03%。

两张饼图对比可以看到，Dropper类虽然在病毒种类上没有下载类种类多，但在数量级上远远超过了下载类，这说明此类木马传播的最广泛，数量最多，受害的用户也最多。

勒索类病毒相比Q2季度有所下降，从Q2季度的11.69%下降至1.24%，降幅达到10.45%。具体数值如图 10。

图10

（三）PE感染型病毒分类

从收集的病毒样本来看，PE感染型病毒种类上并不太多，但在用户侧仍然十分活跃，对比Q2与Q3季度数据，排名前三位的仍然是PolyRansom、Nimnul、Virut病毒，仅次序发生了变化。

在PE感染型病毒中，排在第一位的是Virut病毒，占全部感染型病毒的49.82%，相比Q2季度的10.71%，增长了39.11%，这说明近期此类型病毒有所爆发。而在Q2季度中排名第一的PolyRansom病毒降幅较大，位列第三，从Q2季度的39.50%下降到9.39%，下降了30.11%，传播趋势明显得到控制。Nimnul病毒排名本季度与Q2季度相同，排名第二没有变化，但病毒总量上从23.51%下降到了12.27%，传播趋势也有所收敛。具体数据如图 11。

图11

由于感染型病毒不同于普通的木马病毒，感染型病毒会通过修改宿主程序代码的方式将恶意代码寄生在宿主进程中运行，而每个文件被感染后的哈希（Hash，文件内数据的”信息摘要“）值都会变化，因此，被感染型病毒感染后的文件是无法进行”云查杀“的。

因此，杀毒引擎能否修复被感染的文件，体现了反病毒引擎对感染型病毒修复的能力。目前腾讯反病毒实验室的自研TAV反病毒引擎可以查杀并修复国际、国内流行的各类感染型病毒。

（四）非PE病毒分类

根据收集的非PE病毒样本统计，Q3季度中VBS样本类排名第一位，占全部非PE病毒样本的75.69%，其主要原因是存在一类感染型病毒，会感染HTML网页并插入VBS脚本代码，一旦HTML网页被执行后，便会执行这段恶意的VBS代码，释放出一个恶意的可执行文件并加载运行。

排名在第二位的是HTML类型病毒，占全部非PE病毒样本的18.31%。第三名为JS脚本类，占比为18.31%。第四名为PDF，占比为0.46%。具体数据如图 12。

图12

三、中毒用户地域分布

根据中毒PC数量统计，从城市分布来看城市排名变化不是特别大，依旧是互联网较为发达的城市用户中毒情况较多，全国拦截病毒排名第一的城市依然为深圳市，占全部拦截量的4.64%。

第二名为广州市，占全部拦截量的3.69%，相比Q2季度的3.39%增长了0.30%，排名上升一位。

第三名为武汉市，占全部拦截量的3.24%，相比Q2季度的2.03%增长了1.21%，病毒拦截量趋势明显上扬，从Q2季度的第10位上升至第三位。具体数据如图 13。

图13

从省级地域分布数据来看，中毒PC数量最多的还是广东省，排在全国第一省，占全部拦截量的13.41%，与Q2季度相比变化不大。排在第二位的是河南省，相比Q2季度排名上升了3位，占全部拦截量的7.18%，占比增长了0.99%。第三名为山东省，与Q2季度排名没有变化，但占比有所下降，从Q2季度的7.12%下降到5.96%，降幅达到1.16%。具体数据如图 14。

图14

四、漏洞相关病毒详情

利用系统或软件的漏洞可以快速传播木马病毒，黑客由其青睐系统漏洞，5月份爆发的WannaCry病毒就是利用windows系统漏洞进行传播，才能够使病毒在短时间内影响到全球100多个国家和地区。7月在全球范围内传播的钓鱼邮件木马Globelmposter也多是利用office软件的漏洞运行恶意程序的。越来越多的黑客使用已知或未知的漏洞进行病毒木马传播，因此，漏洞相关类病毒样本呈现了增长趋势。

（一）漏洞病毒分类详情

漏洞病毒样本主要分布在Windows、Linux、Android平台上，通过对获取到的漏洞类型样本统计，可以看到Windows平台占比最多，其中非PE类型的漏洞样本达到69.60%，PE类型漏洞样本达到23.00%，Windows平台漏洞样本总量可达到所有平台全部漏洞样本总量的92.6%。随着Android系统使用量的增长，Android平台漏洞样本也超过了Linux平台，占比达到3.93%，Linux平台占比为3.47%。具体数值如图 15。

图15

（二）Linux平台漏洞病毒详情

在Linux平台上，排名第一的漏洞攻击样本名为Exploit.Linux.Lotoor，占全部样本中的69.21%，这类样本实际上是利用Linux漏洞进行权限提升，以便黑客得到更高的系统权限，执行其他恶意操作。具体数值如图 16。

图16

（三）Android平台漏洞病毒详情

在Android平台上，排名第一的漏洞攻击样本名为Exploit.AndroidOS.Lotoor，占全部样本中的81.19%，此类名字与Linux平台上的名字相同，功能同样也是为了提升病毒的系统权限。由于Android是基于Linux内核开发并完善的，因此在内核层面他们是共通的。具体数值如图 17。

图17

（四）Windows平台漏洞病毒详情

在收集到的Windows平台漏洞样本中，非PE类型漏洞病毒量级最大，占到了所有漏洞样本的69.60%。

而在非PE类型漏洞病毒样本中，可以分为多种类型的文件，其中，排名第一位的是PDF类，占全部非PE漏洞病毒的35.74%。排名第二位的是OLE类，此类通常为复合文档，以office文档居多，占全部非PE漏洞病毒的29.93%。排名第三位的是SWF类，通常是指Adobe的Flash漏洞，占全部非PE漏洞病毒的18.97%。具体数值如图 18。

图18

Windows平台上的PE类型漏洞样本达到23.00%，在这部分漏洞样本中以排名第一位的名为Exploit.Win32.BypassUAC，主要是绕过Windows系统UAC。用户账户控制（User Account Control，简写作UAC)是微软公司在其Windows Vista及更高版本操作系统中采用的一种控制机制。其原理是通知用户是否对应用程序使用硬盘驱动器和系统文件授权，以达到帮助阻止恶意程序损坏系统的效果。具体数值如图 19。

图19

（五）非PE类漏洞攻击病毒常用编程语言详情

在收集到的漏洞相关非PE样本中，使用JS脚本编写的病毒文件最多，占了全部病毒量的97.41%，可见几乎所有漏洞相关的非PE类型病毒都使用JS脚本语言编写，而使用其他编程语言的病毒样本只占了2.59%。

排名第二位的编程语言为VBS，占全部病毒量的1.27%，在Windows平台上VBS类型的病毒量比较大，但应用到漏洞攻击相关的VBS样本相对并不是太多，大多是通过Office宏病毒的方式存在。

值得注意的是，现在Windows平台加入的PowerShell也正在被黑客利用，Metasploit中也加入了相当多的PowerShell攻击脚本，通过PowerShell执行ShellCode、上传、下载等。具体数值如图 20。

图20

（六）使用JS脚本语言编写漏洞攻击病毒详情

JS脚本语言由于其语言的灵活性，通常很多应用程序都会使用到JS脚本，如在网页HTML中使用JS、在PDF文档中使用JS等，因此，利用JS脚本语言所写的漏洞攻击样本也是最多的。

在收集到的使用JS脚本所写的漏洞攻击相关样本中，以Exploit.JS.Pdfka为最多，占此类全部样本的86.87%，由此可以看到，在PDF漏洞利用中，使用最多的攻击语言是JS，这也是因为PDF中可以使用JS脚本的原因。具体数值如图 21。

图21

在统计的数据中可以看到排名第三位的是名为Exploit.JS.Angler的样本报毒名，此类样本是利用Angler Exploit Kit所生成的样本，Angler Exploit Kit是知名的钓鱼攻击工具包，其中包含了非常多的漏洞利用工具，此钓鱼攻击工具包在2013年才出现，短短几年时间，就成为了野外利用最常用的漏洞利用工具包之一。

（七）OLE漏洞攻击病毒详情

通过对OLE漏洞攻击样本的数据统计，可发现在OLE漏洞攻击中利用微软办公软件office漏洞样本最多，其中以word文档居首，今年比较严重的OLE漏洞就是CVE-2017-0199,可以看到在活跃的病毒样本中可以找到此漏洞样本。

根据其他报毒名CVE号统计可以看出，利用老漏洞来进行攻击的样本超过了当年新增的漏洞，因此，无论企业还是普通用户都应该及时更新漏洞补丁，而不应该在意补丁是否为当年最新，图表中可以看到，2010年的CVE号也占了不少比例。具体数值如图 22。

图22

第二章 Android端恶意程序

一、恶意程序检测量

2017年Q3统计Android样本数据显示，总计已检测Android病毒样本量320多万个，平均每月检测Android病毒样本110万个。通过数据可以看到Android病毒样本从7月至9月整体趋势在缓慢下降。具体数值如：图 23。

图23

二、恶意程序详细分类

（一）恶意程序种类及量级上的分类

根据2017年Q3季度获取到的安卓病毒样本分析，从病毒种类上来看整体排名并没有变化，排名第一位的仍然是PUA类（灰色软件）病毒，占总体病毒量的45.11%，相比Q2季度的34.56%增长了10.55%。

SMS类为第二大病毒种类，占总体数量的18.51%，相比Q2季度的13.99%增长了4.52%。Spy类为第三大病毒种类，占总体数量的4.91%，相比Q2季度的8.63%下降了3.72%。具体数值如图 24。

图24

从安卓病毒样本的数量级上来划分，可以看到排在第一位的仍然是PUA，但排在第二位的变成了Ransom类，占全部安卓病毒数量的23.65%，相比Q2季度的13.03%增长了10.62%，可见在Q3季度安卓移动端敲诈勒索类病毒增长迅速。排在第三位的是Banker类病毒，占全部安卓病毒数量的5.80%，相比Q2季度的2.42%增长了3.38%，相比Q2季度已经翻倍。具体数据如图 25。

图25

三、Q3季度Android端恶意程序案例

（一）首次发现Android DDoS恶意程序

在2017年的Q3季度中，首次出现了带有DDoS功能的Android病毒，这标志着黑客开始利用移动设备组织发起DDoS攻击。

WireX寄生于Google Player应用市场,常见的软件名为Network、FilterFile等，WireX潜入用户设备安装启动后门模块，通过用户的手机DDos攻击了多个内容分发网络（CDN）和内容提供商(比如Akamai，Cloudflare )。

（二）Android勒索病毒出现定制化工具

在8月份，一个名为“梦工厂”勒索病毒生成器出现在网络上，该勒索病毒生成器主要通过网络网盘传播，并增加了开通VIP服务收费的功能。恶意使用者通过支付开通VIP服务后，即可使用资源目录下的各种锁机apk文件，进而生成批量勒索病毒，通过网络恶意推广诱导用户中招，趁机勒索“解锁费”。

“梦工厂”勒索病毒生成器的原理在于，软件作者整合了一些常见技术类型和流派的锁屏样本，降低了勒索病毒的技术制作成本，同时也可能导致勒索病毒的进一步泛滥。

（三）Android银行相关木马爆发

在Q3季度中，越来越多的Android银行相关类木马集中爆发，这正是因为移动支付的快速发展，让藏在暗处的黑客开始觊觎用户放在手机中的钱财。

其中一款名为 Red Alert 2.0新型Android木马已感染 Google Play 商店上超过 60 款银行与社交媒体应用，木马可以让黑客窃取用户敏感信息、劫持短信邮件，并阻止与银行、金融机构相关的所有来电呼叫，研究人员发现，这个木马在黑客论坛中售价为500美元。

附录1  2017年Q3季度网络安全事件盘点

一、知名终端管理软件Xshell多个产品被植入后门

Xshell 是一款强大、著名的终端模拟软件，被广泛地用于服务器运维和管理，它提供业界领先的性能和强大功能，在免费终端模拟软件中有着不可替代的地位。

Xshell在7月18日发布的5.0 官方版本被植入后门，用户下载、更新到该版本均会中招。该恶意的后门代码存在于有合法签名的nssock2.dll模块中。从后门代码的分析来看，该代码是由于攻击者入侵的开发者的主机或者编译系统并向源码中插入后门导致的。该后门代码可导致用户远程登录的信息泄露。

Xmanager Enterprise、Xmanager、Xshell、Xftp、Xlpd五款软件存在安全漏洞，官方已于8月5日紧急修复，并发布更新版本。

二、知名清理软件CCleaner被感染，逾200万用户受影响

9月18日，Piriform官方发布安全公告，公告称旗下的CCleaner软件被篡改并植入了恶意代码，恶意代码会偷偷执行Floxif木马，窃取受害者隐私，甚至还会下载运行其它木马，造成更严重的危害，由于整个程序带有CCleaner的正版数字签名，这一下载行为不会引起任何异常报警，用户也毫无察觉。

事实上，从8月2日CCleaner就已经被攻击，官方编译的主程序文件被植入恶意代码，但官方直到9月12日才发现异常，当天就发布了干净的CCleaner，14日又升级了CCleaner Cloud。

据安全机构估计，约有227万用户已经安装了受感染的软件。

三、安全公司Carbon Black客户数据泄漏，TB级别隐私数据流出

安全公司Carbon Black 目前为美国近三十个最大的公营及私营公司提供安全产品，客户中还包括硅谷领先的互联网搜索、社交媒体、政府和金融相关企业。

8月9日，安全公司 Carbon Black 被控泄露 TB 级别其客户企业的机密数据。泄露的数据来自多家财富 1000 企业，数据内容包括了用户机密数据、财务记录、网络情报和其它敏感数据。

安全管理策略提供商DirectDefense的公开博客中写道，这些企业所采用的 Carbon Black EDR（终端检测及响应）安全解决方案中存在问题，正在泄漏数十万个敏感文件。面对指控，安全公司 Carbon Black 则表示并非是他们将客户敏感数据泄漏出去，相反，正是这些使用EDR方案的企业自己，也许是偶然地，将自己的敏感数据泄露在云端服务器上。

四、58人被抓，腾讯协助警方斩断DDoS黑产全链条

江苏省某网络公司服务器频繁遭到DDoS流量攻击，导致挂载在服务器上的多个网站无法正常运营，损失严重。据了解，此次DDoS攻击是网站经营者的业务同行恶意竞争打压，雇佣黑客实施DDoS攻击网络的犯罪行为。随后，在腾讯“守护者计划”安全团队的协助下，江苏省徐州市公安局网安支队根据网络攻击溯源寻踪，开展DDoS黑产打击行动，打掉了这个DDoS攻击黑产团伙，抓获分布于全国15省30多个市的犯罪嫌疑人58人，包括发单人、肉鸡商、实施攻击人、出量人、担保人、黑客攻击软件作者等DDoS黑产链条中的各类角色，对该类型的攻击犯罪形成了有力震慑。

五、针对全球各领事馆和大使馆的恶意软件Gazer

8月31日，国外安全研究员发现了一款针对全球范围内各领事馆、部委及大使馆用以监视政府和外交官的恶意软件。从2016年起，恶意软件就开始利用一个叫做为Gazer的后门，这个后门被认为是由之前与俄罗斯情报机构相关的Turla高级持续威胁（APT）黑客组织留下的。

Gazer后门使用C++编写，通过鱼叉式钓鱼邮件传播。它分两个步骤完成对目标计算机的劫持。 恶意软件先利用Skipper后门(此前与Turla相关)，然后安装Gazer组件。它可以通过其用于监视其预期目标的高级方法及其在受感染设备上保持持续性的能力，将其自身隐藏在受害者的计算机上，并长时间窃取信息。

六、出现首个Android DDoS恶意程序WireX Botnet

WireX最早出现在2017年8月2日，当时发现有少数的Android设备被感染。之后不到两个星期，被WireX感染的Android设备数量已经多达数万台，这是首个Android DDoS恶意程序。

WireX寄生于Google Player应用市场,常见的软件名为Network、FilterFile等，WireX潜入用户设备安装启动后门模块，通过用户的手机DDos攻击了多个内容分发网络（CDN）和内容提供商(比如Akamai，Cloudflare )。一旦中招以后，你的手机就会成为犯罪团伙的肉鸡，犯罪团伙可以利用安装的后门程序发送DDoS，会导致手机流量消耗可能导致上网变卡。

七、Globelmposter钓鱼邮件勒索病毒在全球传播

Globelmposter钓鱼邮件很早就在国外传播，自7月24号起，腾讯发现国内开始遭受攻击，且规模越来越大，作恶方式，技术手段也不断更新。

Globelmposter是通过运行带有宏的word文档，来执行恶意行为的。如果用户电脑word开启了宏，运行word后会从C&C服务器下载样本。最终用户电脑会被全盘加密勒索，被加密文件后缀名为707、725、726等。