2007年電腦病毒疫情和互聯網安全報告(2)

第一節 2007年電腦病毒疫情統計和分析

一、2007年電腦病毒數量統計

2007年瑞星公司共截獲新病毒樣本917839個（注1），比去年增加70.7%。其中木馬病毒580992個，後門病毒194581個，兩者之和超過77萬，占總體病毒的84.5%。這兩類病毒都以侵入用戶電腦，竊取網游賬號、銀行和股票賬號等信息為目的，帶有直接的經濟利益特徵。

注1：關於調整本報告病毒數統計口徑的說明：

關於新增病毒的數目，本報告採用「病毒樣本數」，2007年上半年及以前的報告為「病毒記錄數」。

病毒樣本數：指的是瑞星公司收到的病毒文件數，包括而不限於exe、dll、com等類型文件。這些文件的大小、MD5值等都不相同，但文件名可能相同。

病毒記錄數：指的是瑞星殺毒軟體病毒庫內的特徵碼條數，每條特徵碼可以查殺一個到多個病毒樣本。

影響病毒記錄數的因素：由於每個殺毒軟體的核心引擎、使用技術不同，查殺同等數量病毒樣本需要的病毒記錄數不同，這樣的差別，甚至存在於殺毒軟體的不同版本上。例如，2007年上半年瑞星在病毒庫中13萬條記錄，隨後對其進行優化，優化後僅需11萬。

這樣，病毒記錄數已經不能客觀的反應病毒疫情狀況，因此本報告採用「病毒樣本數」作為統計依據。

二、毒王、十大病毒和疫情介紹

根據瑞星公司的統計分析，今年全國約有7300多萬台電腦（包含企業用戶）曾經被病毒感染，中國大陸地區已經成為全球電腦病毒危害最嚴重的地區。

其中，以盜取網絡遊戲帳號為目的編寫的「網游盜號木馬」病毒成為新的毒王，「QQ通行證」病毒和「灰鴿子」分列第二、第三位。在各省疫情方面，廣東省以911余萬台次的數量領先，江蘇、浙江等省市緊隨其後。本次統計的前五個省市，染毒計算機都超過了350萬台次。

十大病毒排名如下：

1、網游盜號木馬（Trojan.PSW.Win32.OnlineGames）

2、QQ通行證（Trojan.PSW.QQPass）

3、灰鴿子（Backdoor.Win32.Gpigeon）

4、魔獸世界木馬（Trojan.PSW.Win32.WoWar）

5、威金（Worm.Viking）

6、尼姆亞（熊貓燒香Worm.Nimaya）

7、澤拉丁（Worm.Mail.Win32.Zhelatin）

8、AUTO蠕蟲（Trojan.IMMSG.Win32.TBMSG）

9、傳奇終結者（Trojan.PSW.Win32.Lmir）

10、帕蟲（Worm.Win32.Pabug）

在2007年，黑客集團利用加殼手段「工業化生產病毒」成為趨勢，他們只要從網上下載加殼工具，就可以自動生產出病毒。這使得新病毒樣本的數目瘋狂增長，從2006年的53萬暴增到2007年的91萬，同比增長70%，其中絕大部分是工具自動生產的加殼病毒。

同時，病毒傳播手段的改進，包括USB隨身碟傳播、ARP局域網傳播、網頁掛馬等促使病毒傳播能力強化。同時，一些廣泛使用的流行軟體，如百度搜霸等安全漏洞被利用，上述因素的綜合作用，給中國大陸地區的互聯網和電腦用戶造成巨大的威脅。

三、2007年病毒趨勢分析

1、加殼病毒氾濫，病毒樣本暴增

2007年，互聯網上出現許多自動給病毒加殼的工具，黑客只要下載這些工具，就可以改變已有病毒的「面貌」，使得殺毒軟體無法識別，網上已有近千種加殼工具，黑客們利用這些工具，「批量生產」出大量惡性病毒。在今年的90餘萬新樣本中，有相當大的部分屬於這類「變臉」 病毒。

如此巨量的病毒樣本，給反病毒廠商帶來了很大的處理壓力。針對此種情況，瑞星公司採用了多種技術方式綜合使用的辦法，包括虛擬機脫殼引擎的改進和優化，木馬強殺技術、主動防禦技術等等。

技術上的改進，大大增強了瑞星殺毒軟體對加殼病毒的處理能力。例如：瑞星2007年截獲病毒樣本91萬，而實際加入病毒庫中的記錄為27萬條，平均每條記錄可以查殺3.3個病毒樣本。

2、USB隨身碟病毒肆虐

隨著網絡視頻、音樂、手機與電腦文件交換發展，USB隨身碟、MP3等可移動介質被黑客廣泛利用來傳播病毒。只要USB隨身碟在中毒電腦上使用過，就會被植入病毒，當它被拿到別的電腦上使用時，就會感染更多的機器。

目前通過USB隨身碟傳播的病毒佔據總病毒數的比例，從2006年的不足10%，上升到2007年的32%左右。而且，該傳播方式往往和其它方式結合，以取得更好的傳播效果。在瑞星殺毒軟體2008版中，專門加入了「USB隨身碟病毒免疫」功能，只要用戶安裝之後，就會自動啟動，使USB隨身碟病毒無法侵入用戶電腦。

3、ARP局域網攻擊

ARP地址解析協議是一種常用的網絡協議，每台安裝有TCP/IP協議的電腦裡都有一個ARP緩存表，表裡的IP地址與MAC地址一一對應，如果這個表被修改，則會出現網絡無法連通，或者訪問的網頁被劫持。黑客利用ARP協議存在的缺陷，侵入某台電腦之後發送ARP欺騙攻擊資料包，造成局域網內所有用戶在訪問網絡時，收到的都是帶毒的網頁。

如果中毒電腦是位於資料中心內的伺服器，則其所在vlan內的其他網站伺服器在響應用戶的http請求時，返回的頁面也將帶毒，這樣遭受危害的客戶端機器會以幾何級數迅速增多，危害極為嚴重。2007年，使用ARP攻擊感染局域網的病毒，在企業局域網、校園網絡等特殊環境下造成了很大威脅。

4、網頁掛馬的流行

2007年，很多流行應用軟體，包括百度搜霸、realplayer、Qvod等都曾出現安全漏洞。對於很多用戶來講，只要這些軟體能夠正常使用，就不會去升級新版本，這樣使得很多用戶的電腦都存在漏洞。這些用戶去訪問帶毒網站的時候，很容易就會被感染。

同時，現在黑客們往往會利用社會熱點來實施網頁掛馬攻擊，例如電影《色戒》、貝布托夫人遇刺等，都曾被黑客利用來傳播病毒。由於通過「網頁掛馬」可以快速的批量入侵大量計算機，獲取經濟利益，因此「網頁掛馬」成為黑客常用的攻擊手段。

四、典型病毒現象、原因和解決措施

2007年新增的病毒中，絕大部分是木馬和後門病毒，感染電腦後一般不會出現很典型的病毒現象。但是，由於其要想達到自己的破壞目的，一般會破壞殺毒軟體、正常應用程序等。病毒產生的常見破壞現象有下列七種，普通用戶可以根據列表來發現病毒的蛛絲馬跡，並採用針對性的防護措施來防止：

1、網游、網銀、QQ等密碼賬號被盜

2007年，瑞星截獲竊取用戶的賬號木馬和後門病毒共計77萬，佔據總體比例的84.5%，病毒數量暴增，用戶電腦存在漏洞的現象也愈加嚴重，這就造成盜號現象高居不下的嚴峻局面。

對於這些盜號病毒，瑞星在2007年推出了「賬號保險櫃」技術，它是主動防禦技術的延伸，集成在瑞星殺毒軟體2008版中。只要用戶安裝了瑞星殺毒軟體，電腦上重要的網游、網銀等程序就會被自動放入「賬號保險櫃」，阻止未知木馬的侵襲。

2、經常收到QQ、MSN好友發來的帶毒網站

MSN蠕蟲、QQ尾巴病毒，仍然是黑客喜歡的病毒傳播方式之一。瑞星殺毒軟體2008版中的主動防禦功能，可以阻止未知程序注入記憶體、阻止模擬鍵盤輸入等，從根本上阻止病毒向外濫發消息。用戶只要把QQ、MSN加入「賬號保險櫃」，就可以阻止病毒向外發送消息。

3、軟體運行異常，任務管理器等常用軟體不能運行

任務管理器、softice等專業軟體，往往被用來手工清除病毒。為了對抗清除，大多數病毒會強行終止這些軟體的進程，使其無法運行或者功能不全。針對此類威脅，用戶可以採用主動防禦裡的「應用程序」保護，把易受攻擊的程序保護起來。

4、電腦運行變慢

很多病毒會啟動多個進程，進行多種危險操作，大量耗用系統資源，使電腦運行變慢。當然，流氓軟體、系統垃圾等等也可能造成同樣的現象。用戶可以先對電腦進行全面的病毒掃瞄，再利用卡卡上網安全助手清除系統垃圾和流氓軟體，這樣既可以使電腦的運行速度大大加快。

5、電腦無故彈出黃色暴力網頁，或頻繁彈出廣告

這是由於木馬病毒潛伏在後台，強行把用戶引導到不良網站上。用戶可以先對電腦進行全面的病毒掃瞄，再利用卡卡上網安全助手清除流氓軟體。

6、IE瀏覽器首頁被修改

很多木馬會頻繁修改系統設置，強行把瀏覽器的首頁鎖定為商業網站或不良網站。用戶可以先對電腦進行全面的病毒掃瞄，再利用卡卡上網安全助手清除流氓軟體。（一定要先殺毒，因為病毒會鎖定系統設置，不清除的話無法改回原樣）

7、系統時間被修改

由於一些國外殺毒軟體在系統時間的處理上存在瑕疵，當系統時間異常時會失效，無法正常運行。很多病毒利用了這一點，把系統時間修改之後使其關閉，然後再侵入用戶系統進行破壞。用戶可以利用瑞星殺毒軟體對電腦進行全面掃瞄，清除病毒後即可手工設置回來。

(