2008年计算机病毒整体情况及特征

gao0907

2008年计算机病毒整体情况及特征
据江民反病毒中心监测分析，2008年上半年，病毒主要呈现以下特征：
      一、木马数量持续猛增，新变种层出不穷
     2008年上半年，江民反病毒中心共截获新病毒206439种，另据江民病毒预警中心不完全统计，1至6月全国共有9871681台计算机感染了病毒，其中感染木马病毒电脑7749269台，占病毒感染电脑总数的78.5%，比去年同期增长11个百分点。感染广告程序电脑3849955台，占病毒感染电脑总数的3.9%，感染后门程序电脑4540973台，占病毒感染电脑总数的4.6%，蠕虫病毒2764070台，占病毒感染电脑总数的2.8%，监测发现漏洞攻击代码感染1184601台，占病毒感染电脑总数的1.2%，脚本病毒感888451台，占病毒感染电脑总数的0.9%。

   
二、病毒发作区域性特征显著
      江民KV病毒预警系统监测数据显示，2008年病毒疫情比较严重的地区排前十位的分别是：北京、山东、江苏、河南、四川、广东、湖南、辽宁、江西、河北。
     北京近半年被病毒感染的计算机总数为4774123台，从去年同期的第四位跃居全国之首，占全国被感染计算机总数的51.3%。而历年来，病毒疫情比较严重的山东、江苏和广东地区，在今年上半年的地区疫情排行榜中，退居第二、第三和第六位，上海今年则退出了全国排行的前十位。


三、U盘成病毒传播主要途径
    由于U盘本身不会防毒，病毒很容易就会感染U盘，而当U盘插入电脑时还会自动播放，病毒就会即刻被自动运行。加之U盘的广泛应用也为病毒的传播提供了温床，由于众多电脑用户在通过接入U盘进行电脑数据互换时，并没有先扫描病毒后操作运行的习惯，病毒也就瞄准了这一空档藏身其中，“U盘寄生虫”病毒一出现就以高感染率的排名常居病毒榜前三甲。
这类病毒会关闭大部分安全软件(包括杀毒软件)进程，降低系统安全性，同时还会自动连接网络下载其它恶意程序并自动安装运行。利用它们来远程控制用户电脑，窃取用户的网络游戏帐号、银行卡密码等私密信息资料，利用“net stop”命令关闭防火墙、各种杀毒软件的安全服务等，使用户电脑中的安全保护程序瘫痪，给用户的财产和隐私带来严重的威胁。
四、经济利益驱使，病毒魔爪伸向网游帐号
    2008年上半年，网游盗号类病毒疫情大幅上升，此类病毒占据了病毒排行榜前四，此类病毒无一例外的把目标对准目前流行的网络游戏，盗取目标除了帐号密码外，还包括游戏分值、虚拟装备、游戏币、游戏点卡、仓库密码、角色等级、金钱数量、所在区服、计算机名称等所有的信息资料。包括“征途”“天堂”“魔兽世界”“完美世界Online”“剑侠情缘IIOnline”等几乎所有的流行网游都被病毒盯上，严重威胁广大网络游戏玩家的帐号、密码安全。江民反病毒专家提醒广大电脑用户和网络游戏玩家，务必使用杀毒软件的“系统诊断”功能，对电脑做全面的安全检查，打好系统漏洞补丁，关闭不必要的端口和服务，关闭电脑中的所有共享。网络游戏玩家可以配合使用“密保”软件，将游戏帐号密码输入密保，配合杀毒软件给电脑加上双重保险，减少帐号、密码被盗的风险。
五、病毒综合利用系统漏洞和应用软件漏洞传播
2008年以来，据江民反病毒中心监测，病毒除了利用WINDOWS系统漏洞传播病毒外，还综合利用了应用软件漏洞，多数病毒已经很少使用单一漏洞传播病毒，而是综合利用两个及两个以上的漏洞。研究表明，2008年1月至6月，利用微软MS06－014漏洞、百度搜霸不安全方法漏洞、RealPlayer Import缓冲溢出漏洞，90%以上的挂马网页至少使用它们当中的一个。而5月底被发现的FLASH远程代码执行漏洞，在短短的一周内，就有数万人受到了利用该漏洞的恶意代码攻击。

计算机病毒未来发展趋势
   
根据江民反病毒中心对上半年所截获的大量病毒样本的分析，综合病毒的破坏能力、传播手段以及传播目标和范围，以及对目前互联网的安全形势和应用环境的判断，江民反病毒中心认为未来病毒发展主要将呈现以下五大特征：
一、综合利用多种编程新技术的病毒将成为主流
从Rootkit技术到映象劫持技术，磁盘过滤驱动到还原系统SSDT HOOK和还原其它内核HOOK技术，病毒为达到目的所采取的手段已经无所不用其极。通过Rootkit技术和映象劫持技术隐藏自身的进程、注册表键值，通过插入进程、线程避免被杀毒软件查杀，通过实时监测对自身进程进行回写，避免被杀毒软件查杀，通过还原系统SSDT HOOK和还原其它内核HOOK技术破坏反病毒软件，其中仅映象劫持技术就包括“进程映像劫持”、“磁盘映像劫持”、“域名映像劫持”、“系统DLL动态连接库映像劫持”等多种方式。目前几乎所有的盗取网络游戏帐号的木马病毒都具备了以上一种以上的技术特征，几乎所有最新的程序应用技术都被病毒一一应用，电脑一旦感染病毒，普通用户根本无能力彻底清除，只能求助专业技术人员。未来的计算机病毒将综合利用以上新技术，使得杀毒软件查杀难度更大。
二、ARP病毒仍将成为局域网最大祸害
ARP病毒已经成为近年来企业、网吧、校园网络等局域网的最大威胁。此类病毒采用ARP局域网挂马攻击技术，利用MAC地址欺骗，传播恶意广告或病毒程序，使得ARP病毒猖獗一时。ARP病毒发作时，通常会造成网络掉线，但网络连接正常，内网的部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象。更为严重的是，ARP病毒新变种能够把自身伪装成网关，在所有用户请求访问的网页添加恶意代码，导致杀毒软件在用户访问任意网站均发出病毒警报，用户下载任何可执行文件，均被替换为病毒，严重影响到企业网络、网吧、校园网络等局域网的正常运行。

虽然在各大安全厂商的努力下，ARP病毒得到了有效遏制，但由于众多中小企业用户没有足够重视病毒的危害，没有采取相应的防范措施，因此给此类病毒提供了生存空间，预计此类病毒仍将在很长一段时间内成为祸害局域网的主要类型病毒。
三、网游病毒仍将大行其道，逐利成此类病毒唯一目标
受经济利益驱使，利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料的病毒今年上半年十分活跃。2008年上半年截获的新木马病毒中，80％以上都与盗取网络游戏帐号密码有关。病毒作者的牟利目标十分明确，就是盗取互联网上有价值的信息和资料，特别是网络游戏帐号密码、以及虚拟装备等，转卖后获取利益。逐利已成为此类病毒的唯一动机和目标，随着网络游戏的火爆和兴盛，此类病毒仍然有着庞大的市场和生存空间，仍将成为未来病毒的主流。
四、病毒将全面进入驱动级
进入2008以来，大部分主流病毒技术都进入了驱动级，病毒已经不再一味逃避杀毒软件追杀，而是开始与杀毒软件争抢系统驱动的控制权，在争抢系统驱动控制权后，转而控制杀毒软件，使杀毒软件功能失效。病毒通过生成驱动程序，与杀毒软件争抢系统控制权限，通过修改SSDT表等技术实现WINDOWS API HOOK，从而使得杀毒软件监控功能失效。
五、奥运或成病毒借机传播新目标
每次重大事件都会成为病毒传播的良机，2008北京奥运会全球瞩目，更可能成为病毒作者瞄准的目标。北京奥运即将在8月8日正式召开，根据以往的经验，奥运期间病毒可能通过以下几种形式传播或发作：
1、 通过即时通讯工具群发奥运相关信息，诱使用户点击带毒链接或接受带毒文件。
2、 通过发送主题或内容与奥运相关信息的电子邮件，在邮件附件中夹带病毒。
3、 在论坛或贴吧发布带毒的奥运比赛现场图片或视频链接，诱使用户点击。
4、 攻破传播奥运新闻的相关网站，在相关网页挂马传播病毒。
病毒作者通过以上几种形式传播病毒，主要目标还是瞄准经济利益。一旦用户电脑染毒后，染毒电脑中所有的有价值的信息，包括网络游戏帐号密码、网上银行帐号密码、网上证券交易帐号密码都面临着被盗的危险，因此需要引起用户的足够重视。

计算机病毒表现出的众多新特征以及发展趋势表明，目前我国计算机网络安全形势仍然十分严峻，反病毒业者面临的挑战十分艰巨，需要不断地研发推出更加先进的计算机反病毒技术，才能应对和超越计算机病毒的发展，为电脑和网络用户提供切实的安全保障。作为电脑用户，更应当增强安全意识，多学习和了解基本的计算机和网络安全防范知识和技术，做到最基本的不登陆和点击不明网站和链接，每日升级杀毒软件病毒库和修复操作系统漏洞，尽量使用最新版本的应用软件等安全防范措施。特别是在奥运期间，更需要提高警惕，首先要确保自身电脑不染毒不传毒，为2008北京奥运的顺利召开尽自己的一份力量。

延伸阅读：
江民2007年度十大病毒及计算机病毒疫情报告
http://www.jiangmin.com/News/jiangmin/index/important/200812155811.htm
江民2007年上半年十大病毒及计算机病毒疫情报告
http://www.jiangmin.com/News/jiangmin/index/important/20077515449.htm
江民2006年上半年十大病毒及计算机病毒疫情报告
http://www.jiangmin.com/News/jiangmin/index/important/200671016615.htm