2008年中國電腦病毒疫情及互聯網安全報告

    危害程度：分5級，最高級為5。我們將危害的種類分為：A破壞或感染用戶系統\終止殺毒軟件，B盜取用戶信息，C能進行自我傳播 D廣告行為 E下載其它木馬

5級：具有上述四種及以上行為的病毒/木馬
4級：具有述任意三種行為的病毒/木馬
3級：具有C行為加任意一種行為的病毒/木馬
2級：具有A B C任意一種行為的病毒/木馬
1級：具D E任意一種行為的病毒/木馬

    病毒感染：對于廣義的病毒定義來講，本文所指感染包括病毒感染或木馬入侵。

    病毒感染率：該病毒感染或入侵的計算機臺數占總感染（或入侵）臺數的比率，為方便統計，統稱為感染率，下同。

    用戶關注度：我們收集用戶對病毒的關注數據，如：論壇討論熱度的評估，新聞及病毒分析報告的點擊率或關鍵字熱度，將其分為3級，熱門、高度、普通。
 
    1. 機器狗病毒

    機器狗病毒因最初的版本采用電子狗的照片做圖標而被網民命名為“機器狗”，該病毒變種繁多，多表現為殺毒軟件無法正常運行。該病毒的主要危害是充當病毒木馬下載器，與AV終結者病毒相似，病毒通過修改注冊表，讓大多數流行的安全軟件失效，然后瘋狂下載各種盜號工具或黑客工具，給用戶電腦帶來嚴重的威脅。

    機器狗病毒直接操作磁盤以繞過系統文件完整性的檢驗，通過感染系統文件（比如explorer.exe，userinit.exe,winhlp32.exe等）達到隱蔽啟動；通過底層技術穿透冰點，影子等還原系統軟件導致大量網吧用戶感染病毒，無法通過還原來保證系統的安全；通過修復SSDT（就是恢復安全軟件對系統關鍵API的HOOK），映像挾持，進程操作等方法使得大量的安全軟件失去作用；聯網下載大量的盜號木馬給廣大網民的網絡虛擬財產造成巨大威脅，部分機器狗變種還會下載ARP惡意攻擊程序對所在局域網（或者服務器）進行ARP欺騙影響網絡安全。

    2. 磁碟機病毒

    這是一個下載者病毒,會關閉一些安全工具和殺毒軟件并阻止其運行；并會不斷檢測窗口來關閉一些殺毒軟件及安全輔助工具 ,對于不能關閉的某些輔助工具會通過發送窗口信息洪水使得相關程序因為消息得不到處理處于假死狀態；破壞安全模式,刪除一些殺毒軟件和實時監控的服務, 遠程注入到其它進程來啟動被結束進程的病毒,,病毒會在每個分區下釋放 AUTORUN.INF來達到自運行. 感染除SYSTEM32目錄外其它目錄下的所有可執行文件。 并且會感染RAR壓縮包內的文件。

    3. AV終結者

    禁用所有殺毒軟件以及大量的安全輔助工具，讓用戶電腦失去安全保障；破壞安全模式，致使用戶根本無法進入安全模式清除病毒；強行關閉帶有病毒字樣的網頁，只要在網頁中輸入“病毒”相關字樣，網頁遂被強行關閉，即使是一些安全論壇也無法登陸，用戶無法通過網絡尋求解決辦法；在磁盤根目錄下釋放autorun.inf利用系統自播放功能如果不加以清理，重裝系統以后也可能反復感染。

    4. OnlineGames系列盜號木馬

    這是一類盜號木馬系列的統稱，這類木馬的特點就是通過進程注入盜取流行的各大網絡游戲（魔獸，夢幻西游等）的帳號從而通過買賣裝備獲得利益。這類病毒本身一般不會對抗殺毒軟件，但經常伴隨著AV終結者、機器狗等病毒出現。

    5.SWFExploit病毒
 
    SWFExploit生成器的產生：由于adobe flash player這個軟件廣泛存在于大多數電腦上，因此，當這個軟件的漏洞一經公布，利用它的病毒就迅速爆發。這些病毒利用adobe flash player中一段有BUG的代碼，精心構造數值。它們修改了adobe flash player中關于安全驗證的模塊的數據，讓自己的代碼可以繞過安全監控，直接在電腦中運行。這樣一來，只要用戶電腦中的adobe flash player沒有打上補丁，那么當他們訪問掛馬網頁時，病毒就會感染電腦，并下載其它的大量病毒程序到他們的電腦上運行。（這些被下載的病毒，大多為木馬下載器，它們進入用戶電腦后帶來的明顯危害，就是給用戶電腦里塞滿了大量的盜號木馬，可能會將電腦中有價值的帳號密碼都偷得一干二凈）

    6. 大水牛下載者

    大水牛病毒是一個盜號木馬下載者，該病毒學習機器狗，加入了驅動恢復SSDT使得安全軟件的主動防御失效；注入系統進程通過hook系統底層API來隱藏自己的文件和注冊表鍵值使得部分安全輔助工具不能檢測到病毒的存在；通過進程操作和窗口監視對抗常見安全軟件；下載機器狗，盜號木馬，ddos惡意攻擊工具使得用戶電腦處于極度危險的狀態。

    7. Auto木馬下載者
 
    此類病毒的主要傳播途徑是U盤、移動硬盤等移動存儲設備。此病毒通常利用Autorun.inf的自動播放功能來啟動自身，運行以后會破壞安全模式，隱藏文件的顯示等系統默認設置來避免被刪除，該類病毒同樣具有下載功能，會下載大量的盜號木馬、流氓軟件到用戶電腦安裝，用戶系統穩定性下降容易藍屏、網絡虛擬財產安全得不到保障。

    8.Rootkit系列病毒

    這類病毒經常伴隨著OnlineGames系列病毒出現。這類病毒使用Rootkit技術來隱藏加載OnlineGames系列病毒。還會通過驅動來恢復SSDT Inline HOOK， 使得殺毒軟件失去對系統的保護功能。通過rootkit技術盜號木馬能夠更有效地盜取帳號密碼。

    9. Downloader系列下載者
 
    這類病毒是典型的盜號木馬下載者。通過映像挾持，進程操作，窗口監控等方式對抗殺毒軟件、會下載安裝大量盜號木馬到用戶電腦。Downloader系列下載者在下載執行完盜號木馬后，會自動刪除，原程序不會駐留用戶計算機。給殺毒軟件獲取樣本分析帶來了麻煩。

    10.PCClient后門
 
    黑客通常利用端口掃描或者漏洞掃描工具獲取目標程序然后植入到目標系統，一旦安裝成功就可以像控制自己電腦一樣遠程控制用戶計算機。可以盜取用戶重要文件、監控用戶攝像頭音頻、盜取網游帳號，用戶計算機淪為“肉雞”后，也會被黑客用來攻擊服務器等等。

    二、2008年上半年計算機病毒、木馬的特點分析

    1、下載器病毒首次成互聯網最大威脅

    下載器病毒是近年來新出現的一種病毒類型。該類型病毒與木馬不同，一般本身并不具備盜取用戶信息等行為，而是通過破壞殺毒軟件，然后再從指定的地址下載大量其他病毒、木馬進入用戶電腦，進而通過其他病毒木馬實現其非法目的。

    據金山毒霸全球反病毒監測中心統計，2008年上半年發現的新病毒中下載器病毒增長最為迅猛，已經成為木馬的主要源頭之一。

    從上半年的10大病毒列表可以看出“機器狗”、“磁碟機”、“AV終結者”等病毒，其程序的主要功能是破壞電腦“保安”系統，利用各種手段破壞殺毒軟件，然后啟用另一個主要功能：瘋狂下載多種多樣的木馬，由攻擊發起者定制下載列表，可隨時更新所下載木馬的版本和數量。下載器和盜號木馬的區別在工作重點不同，前者是手段，后者去實現入侵的目的。下載器病毒可以說是病毒流程化入侵的第一步。一旦用戶電腦遭遇下載器病毒入侵，通常電腦內將會發現幾種甚至幾十種木馬，而且這些木馬將幾乎涉及市面上所有流行的在線游戲的盜號木馬，危害非常嚴重。

    2、第三方軟件漏洞成病毒攻擊熱點

    第三方軟件，通俗講既非系統本身自帶的軟件（含操作系統本身和自帶的應用程序），其他包含應用類軟件均可稱為第三方軟件；例如：QQ、Adobe Reader等。

    第三方軟件漏洞是指一些第三方軟件，由于自身軟件設計的原因，在他們提供給IE的組件上，存在一些漏洞，而這些漏洞會被黑客以及惡意網站利用；在用戶瀏覽網頁過程中，通過漏洞下載木馬病毒入侵用戶系統；進行遠程控制、盜竊用戶的帳號和密碼等，從而使用戶遭受到損失。

    隨著微軟操作系統的安全性的日益加強以及用戶對系統漏洞警惕性的提升，病毒已經很難再利用系統漏洞大施拳腳，而第三方流行軟件的漏洞越來越多地被病毒利用。以Adobe Flash Player漏洞為例，Adobe Flash Player 9 .0.115 在播放惡意構造的swf時，會自動下載一個可執行文件并執行，而swf文件可能會自動下載一個病毒下載器并運行，然后再由這個病毒下載器下載其他預先指定的木馬程序，危險指數非常高。

    3、病毒與安全軟件之間的對抗日益加劇

    縱觀08年上半年的一些流行病毒，如機器狗、磁碟機、AV終結者等等，無一例外均為對抗型病毒。而且一些病毒制作者也曾揚言“餓死殺毒軟件”。對抗殺毒軟件和破壞系統安全設置的病毒以前也有，但08年上半年表現得尤為突出。主要是由于大部分殺毒軟件加大了查殺病毒的力度，使得病毒為了生存而必須對抗殺毒軟件。這些病毒使用的方法也多種多樣，如修改系統時間、結束殺毒軟件進程、破壞系統安全模式、禁用windows自動升級等功能。

    08年上半年，病毒與殺毒軟件對抗特征主要表現為對抗頻率變快,周期變短,各個病毒的新版本更新非常快,一兩天甚至幾個小時更新一次來對抗殺毒軟件。

    自07年以來，病毒流程化攻擊的特點越發明顯，而流程化攻擊的重要一步就是對抗安全軟件。病毒進入用戶電腦后，首先終止安全軟件的運行，使殺毒軟件無法正常運行，進而下載大量其他病毒到用戶電腦中，給用戶的個人網絡財產安全帶來嚴重威脅。

    4、“老”病毒泛濫  “明星”病毒減少 

    近年來，類似魔鬼波、熊貓燒香、灰鴿子等重大惡性病毒，憑借其傳播廣泛、破壞性強等特點，迅速成為病毒“明星”，為廣大電腦用戶所“熟知”。然而隨之而來的各大安全廠商的追殺，廣大用戶的喊打，很快這些“明星”病毒就會被打壓下去，病毒作者也會面臨身陷囹圄的危險。因此一些重大的惡性病毒出現的機會在逐步減少。而與此相對應的，單個病毒、木馬只入侵幾千臺電腦，甚至只入侵指定的某個IP地址段內的電腦，雖然這類病毒的攻擊范圍很小，但針對性更強，而且由于同類病毒的總量龐大，因此破壞性也是不容忽視的。

    下載器病毒的泛濫導致了一些“老”病毒枯木逢春。2008年上半年，病毒下載器數量猛增，這些下載器一旦成功進入用戶電腦，大量的木馬將蜂擁而至。在這些木馬中，有很多是早在幾年前就能被殺毒軟件清除掉的老木馬。但由于下載器在下載木馬之前已經將電腦內的安全軟件屏蔽掉，因此即使這些能夠被殺毒軟件查殺的老木馬也能夠很“安全”的完成盜取用戶信息的目的，這也從另一個方面促使黑色產業鏈的從業者加強了以破壞殺毒軟件為目的的程序開發。

    5、“新型”病毒黑色產業鏈逐步形成

    制造木馬、傳播木馬、盜竊賬戶信息、第三方平臺銷贓、洗錢，常規的病毒黑色產業鏈在2008年上半年開始正在發生新的變化。伴隨著病毒制作技術的進步，病毒產業鏈也隨之發生變化，新型產業鏈在技術上也呈現出分工明細的趨勢,例如專門對抗殺軟的病毒,專門下載其它病毒的downloader類別的病毒,專門的盜號功能等。

    制作網馬——入侵眾多中小企業網站，篡改網頁內容，植入各種網馬——部分提供電影下載、軟件下載、聊天交友、圖片視頻等網站出售流量——有人會在各種社區、論壇、博客、貼吧發布訪問此類網站的廣告鏈接，以吸引更多的訪客去下載這些網馬——盜號木馬程序設計者，這些人專職開發針對各種網絡游戲的盜號木馬、網銀木馬——各種帶有遠程控制功能的木馬設計者，此類程序可實現遠程控制中毒的電腦，利用中毒電腦發起拒絕服務攻擊。

    隨著病毒產業鏈的日趨完善，病毒產業鏈的最末端——洗錢的平臺也在逐步多元化。眾多12590業務的非法經營者，可通過盜來的QQ號等信息大量發送垃圾消息，總有眾多不明真相的網民被騙；采用非正當手段進行網絡商業活動，比如購買DDoS服務攻擊競爭對手；雇傭DDoS攻擊的工作室對目標客戶發起攻擊，再上門推銷所謂的反DDoS產品。廣泛存在的網游虛擬財富交易市場，市場里的眾多買方本身也曾是黑色產業鏈的受害者。

    網馬，通常是故意利用瀏覽器漏洞或瀏覽器插件漏洞入侵，通常是木馬下載器，一般是先中網馬，然后由這個木馬下載器下載更多的其它木馬。出售流量是指病毒制造者為快速傳播木馬，需要找流量大的網站進行掛馬，如果病毒制作者自己做一個網站，想達到高流量，不是一件容易的事，最簡單的方法是花錢買流量。隨著黑色產業鏈的深化，流量也在逐步集中到某些實力雄厚的人手中，這些人可以用比別人更高的價格收購流量，進而在利用病毒進行牟利。

    6、社會工程學的攻擊手段成病毒入侵的重要途徑

    （1）利用熱點事件

    當用戶上網搜索一些當下比較流行的信息或電影的時候，如“艷照門”、“色戒”等，搜索到的網頁中很多都是帶毒的，這是不法分子利用人的心理而設的圈套。

    （2）利用用戶對好友的信任通過即時聊天工具傳播

    隨著聊天工具的安全防范措施，這類攻擊已經不是主流，但還存在，有些病毒會通過QQ、msn等聊天工具自動向好友發送帶毒信息或病毒文件。

    （3）釣魚網站

    釣魚網站也是一種常用的攻擊手段，如www.jx2dbt.com是一個外掛的官方網站，而www.jx2dbtwg.com是釣魚網站，但釣魚網站做得跟官方網站一模一樣，使得不少用戶瀏覽了釣魚網站或者下載了釣魚網站的文件，導致中毒。另外一種方式不需要帶毒，如銀行的釣魚網頁，用戶在登錄的過程中，他會先記錄下帳號和密碼，然后再進行登錄到正確的網站，而此時你并不知道你的帳號密碼等信息已經失竊。

    （4）捆綁軟件

    一些病毒會感染或者修改正常共享軟件的安裝包，使得用戶在網站下載安裝這些軟件時感染病毒。另外一些病毒則直接替換掉下載鏈接的文件。

    （5）高流量帶毒鏈接

    流量高的網站是可以用來賣錢掛病毒的，因此很多流量高的網頁會被用來掛病毒。這類網站以黃色網站居多。

    （6）江湖騙術

    一些網絡社區、聊天群里出現的騙子，往往會花言巧語誘使你接受打開對方發送的文件，以照片(其實是病毒文件)為典型。