《中国大陆地区2005年上半年电脑病毒疫情和安全趋势报告》

　　（节选）

　　报告节选一：木马、后门超过半数 蠕虫病毒退居二线　　

　　瑞星全球反病毒监测网的统计数据（中国大陆部分）显示，2005年上半年新截获的病毒数量达到了13464个，比去年同期增加了一倍多。新增加的病毒中木马和后门程序的数量为11611个，占总病毒数的86.2%，而新增加的蠕虫数量为942个，仅占总病毒数的7.0%。　　

　　根据瑞星客户服务中心、全国反病毒服务网（国内部分）、瑞星病毒疫情监测网的统计数据及分析，2005年上半年个人用户遭受的攻击主要来自于特洛伊木马和后门程序，其次是蠕虫病毒。木马病毒占用户总求助量的45%，蠕虫为26%，而后门程序占到23%。这与瑞星全球反病毒监测网的统计结果一致。

　　 虽然2005年上半年的病毒数量较去年有所提升，但没有出现类似2003年“冲击波”病毒及2004年“震荡波”病毒那样大规模爆发的蠕虫病毒，单个病毒造成的危害呈下降趋势。

　　其原因主要有两方面：首先，随着微软发布Windows XP SP2补丁以及用户安全意识的不断提高，使得可以被病毒利用来进行大规模传播和破坏的系统漏洞越来越少。上半年出现过利用几个新漏洞进行传播的病毒，但都没有造成很大的影响。 其次，大多数黑客已经不再愿意去编写传播范围大、破坏剧烈的病毒，而是采用更多的攻击手段以获取经济利益为最终目的。

　　报告节选二：病毒隐蔽性更强 对抗杀毒软件的技术升级

　　 越来越多的病毒会修改系统内核或取得系统最高权限，从而将自身文件、内存数据和注册表信息隐藏起来，甚至能使一些不够完善的杀毒软件都无法检测到这些病毒。

　　 一些病毒编写组织还公开了这种通过修改操作系统内核数据结构隐藏自身的程序代码。其他黑客只需要对这些代码进行简单地修改就可以直接用于自己编写的病毒、木马当中。因此，未来具有超高隐蔽特性的病毒将会越来越多。

　　 除了隐藏自身，目前绝大多数的病毒和木马还都带有反抗杀毒软件的功能。

　　 上半年瑞星全球反病毒监测网截获的病毒样本中有很大一部分是病毒变种。“灰鸽子（BackDoor.Gpigeon）”病毒是目前较为流行的木马之一，上半年共截获了它的变种685个。这些变种在功能上区别并不大，其中主要是为了防止被杀毒软件查杀而进行的变形和加密。

　　许多病毒和木马运行后还会关闭杀毒软件甚至卸载它们，或者更改系统的配置文件，造成杀毒软件无法升级以及杀毒软件厂商的主页无法访问等等。

　　同时，一些针对杀毒软件的弱点进行编写的病毒也相继出现。比如有些杀毒软件在加载病毒库不成功时并不会对用户进行警告，因此当病毒删除杀毒软件的病毒特征库后，这些软件虽然看似正常运行，实际已经无法对病毒进行查杀，成了它们的“帮凶”。

　　黑客甚至还编写出了可以自动繁衍的超级病毒来对抗反病毒软件的查杀。今年3月，瑞星截获了一个名为“琼斯（I-Worm.Jeans.a）”的病毒，它内置源代码和编译器，每次随机对源代码进行自动改写，然后用内置的编译器重新编译。因此该病毒可以自动生成数百上千不同特征的新病毒，运用目前的解决方式，反病毒工程师根本没有时间和精力详细分析这些新病毒的特征码。虽然“琼斯”病毒只是一个试验性质的病毒，并没有什么危害性，但它将可能成为未来病毒的一个发展趋势。

　　报告节选三：“流氓软件”投诉数量上升 已成社会公害

　　 从今年开始，一些软件在电脑用户中激起公愤。这些软件安装后常常会附带一些其他与其不相干的程序，并且这类程序用户很难卸载，极大地干扰了用户正常使用计算机。还有一些软件会强迫、隐瞒、欺骗用户安装或安装后不断弹出广告程序、收集用户隐私信息等。这些软件被用户怒斥为彻头彻尾的“流氓软件”。

　　 根据瑞星客户服务中心、全国反病毒服务网（国内部分）、瑞星病毒疫情监测网的统计，上半年用户对于“流氓软件”的咨询数量由1月份的90个递增到6月份的700个左右，处于一个上升的趋势。

　　 在网络行业协会开展的调查中，截止到7月11日，已有222960人参加投票。其中“强行弹出广告”和“逃避用户卸载”的“流氓软件”最令用户反感。

　　 据瑞星反病毒专家介绍，一些“流氓软件”甚至采用了病毒经常使用的技术。比如将自身复制到系统目录下在后台运行；修改注册表启动项目实现开机自动运行；开启双进程互相监控，防止用户删除；自动监控Hosts表，发现自己网站被屏蔽后自动修改；挂系统钩子获取用户键盘操作，收集用户信息；有些还会干扰杀毒软件的正常运行，甚至直接关闭杀毒软件。

　　 由于“流氓软件”存在其特殊性，它是由正规商业公司发布，并且具有一定的实用功能。因此安全厂商不能将此类程序简单地当作病毒进行查杀。

　　 因此针对于用户反映及其强烈的“反流氓软件”事件，6月14日，瑞星作为国内最大的信息安全厂商，对外发出“相关厂商制作软件应该自律”的呼吁，次日（15日）瑞星对外发布了倡议书，提出了8条自律。

　　6月24日，北京市网络行业协会联合瑞星、新浪、搜狐等16家网络和软件企业联合草拟了《软件产品行为安全自律公约》，用行业规范来制约“流氓软件”的发展。

　　6月28日，瑞星推出的“卡卡安全助手”（https://tool.ikaka.com）开始公测，用技术手段来解决“流氓软件”问题。

　　《软件产品行为安全自律公约》和“卡卡安全助手”虽然可以在很大程度上制约“流氓软件”的发展，但瑞星专家认为与流氓软件的斗争仍然会是一个长期的过程，它需要有关监管部门、软件厂商和社会的共同努力。

　　报告节选四：杀毒软件+防火墙+安全助手=安全　　

　　 《瑞星报告》指出，木马病毒、后门程序以及“流氓软件”已经成为用户信息安全的主要威胁，同时通过系统漏洞、即时通讯类软件（IM）、电子邮件传播的蠕虫病毒，特别是未知病毒所带来的危害仍然不容忽视。

　　针对目前的安全状况，瑞星安全专家指出，未来的杀毒软件将越来越重视对未知病毒的查杀，杀毒软件应以“特征码”查杀为基础，“行为判断”为补充，最终实现“主动防御”未知病毒。

　　目前反病毒软件的核心技术还都是特征码技术，它是全球防毒领域十几年来通行的技术手段，它是以特征值扫描法为理论基础，从电脑病毒中提取病毒特征值构成病毒特征库，然后和用户电脑中的文件或程序进行比对，从而判断该文件或程序是否染毒。

　　与此同时，一些新的查杀未知病毒技术也在不断发展。比如瑞星基于“行为判断”，开发出的“危险行为监控”、“行为自动分析和诊断”等技术。这些技术从动态和静态两个角度来判定程序的行为特征，可以识别大部分未被截获的未知病毒和变种。

　　同时，安全专家还特别强调，传统的“杀毒软件+防火墙”的模式已经不能完全满足保护用户信息安全的需要，“杀毒软件+防火墙+卡卡安全助手”的组合将成为新的标准。

　　 瑞星反病毒工程师认为，目前“流氓软件”的危害已经不亚于病毒所带来的危害。由于其存在管理上的漏洞，“杀毒软件+个人防火墙软件”的组合无法对其进行处理，因此瑞星推出了“卡卡安全助手”作为它们的补充。

　　 “卡卡安全助手”真正地将权力交还给用户。借助这个工具，那些强迫、欺骗、隐瞒用户安装的“流氓软件”将完全暴光在用户的“删除按钮”下，由用户决定是否安装、使用，还是彻底删除。

　　报告节选五：2005年上半年十大病毒排行（中国大陆地区）

　　2005对用户造成破坏最大的十大病毒排行如下：

　　1、 袋子木马释放器（TrojanDroper.Worm.Bagz）

　　2、 瑞波（Backdoor.Rbot）

　　3、 灰鸽子（Backdoor.Gpigeon)

　　4、 传奇木马（Trojan.PSW.LMir）

　　5、 波特后门（Backdoor.Sdbot）

　　6、 高波（Backdoor.Agobot）

　　7、 网络天空（Worm.Netsky）

　　8、 首页（Trojan.Win32.StartPage）

　　9、 爱情后门（Worm.Email.LovGate）

　　10、 麦托（Worm.Mytob）

(责任编辑：韩建光)