随着虚拟货币被疯狂炒作，伴随而来的是疯狂的“挖矿”行为。“挖矿”方式有两种：一种是solo式（直接连入中心网络工作），产出收益均归自己所有；另一种是连入矿池，收益与矿池分成。由于连入矿池的技术难度较低并且收益相对稳定，所以恶意“挖矿”会选择这种方式。“挖矿”的本质是计算符合条件的hash值并返回，采用的方式为爆破式计算，主要特征表现为消耗主机资源，浪费用户电量。面对威胁高速演进变化、防御技术同样快速改善的现状，无论我们做怎样的努力，都已无法用一篇年报来涵盖网络安全威胁的全景，这亦使参与本文档编写的安天分析工程师们无比纠结。对于安天安全研究与应急处理中心（安天CERT）来说，在数年前，年报工作是相对简单的，我们只需从恶意代码存储和分析的后台系统导出足够多的统计图表，就可以构成一篇年度报告。在网络安全领域，恶意代码自动化分析是一个成型较早的基础设施，恶意代码样本集更是一个非常容易进行统计的大集合，这一度让我们偏离了网络安全的本质，弱化了我们对保障用户价值的信念。从去年开始，安天颠覆了自身传统的数据表年报的风格，面对当前威胁的纵深化、复杂化特点，大量简单的统计已经失去意义，我们非常明确地提出了做观点型年报的自我要求。尽管我们拥有更多的样本、更多的数据，但我们依然不敢说已经能够驾驭安全大数据，目前我们能做到的只有学习和思考，我们要学习更丰富的数据分析方式，我们要做能独立思考、有观点、有立场的安全团队，而非做大数据和计算资源的奴隶。2015年12月2日22时25分，安天监控预警体系感知到如下信息线索：某知名作家在新浪微博发布消息，曝光有人以发送"采访提纲"为借口，利用微博私信功能，发送恶意代码链接。 安天安全研究与应急处理中心（安天CERT）根据微博截图指向的链接，下载该样本并连夜展开分析。随着分析的不断深入，我们看到了这样的一幕……宏病毒是一个古老而又风靡一时的病毒，它不像普通病毒可以感染EXE文件，宏病毒可以感染office文档文件，有跨平台能力，并且感染宏病毒的文档会很危险，其破坏程度完全取决于病毒作者的想象力。宏病毒在上个世纪90年代的时候比较流行，在后来相当长一段时间内销声匿迹，慢慢淡出了"安全圈"。近两年，宏病毒再次出现，配合钓鱼邮件、社工手段等方式又有卷土重来的气势。该病毒为最近两年在国内肆虐的短信拦截马的一个新变种。短信拦截马的主要传播过程是，攻击者把木马上传到某个站点，攻击者构造带有木马下载地址的相关短信进行初始传播。如果有用户点击URL后，导致下载木马并安装，木马执行后，将对用户通讯录中的人员继续发送带有样本下载URL的短信，导致接力式传播。安天分析团队从2月启动方程式（EQUATION）分析工作，在形成了第一篇分析报告后，后续整体分析没有取得更多的进展和亮点。基于这种情况，我们首先尝试对部分组件中的加密技巧进行了分析树立，以利后续工作，我们将相关工作进行分享，希望得到业内同仁的批评指点。.2015年2月18日，安天实验室根据紧急研判，对被友商称为“方程式（Equation）”的攻击组织所使用的攻击组件，开始了初步的分析验证。后于2月25日正式组建了跨部门联合分析小组，于3月4日形成本报告第一版本。事件相关背景为：卡巴斯基安全实验室在2月16日起发布系列报告（以下简称“友商报告”），披露了一个可能是目前...安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种，在第一时间展开分析，发布了分析报告及防范措施，并对其持续跟踪。截止至本报告发布，安天已经累计捕获13个变种、 600多个不同哈希值的样本实体。