第一节 2007年电脑病毒疫情统计和分析
一、2007年电脑病毒数量统计
2007年瑞星公司共截获新病毒样本917839个(注1),比去年增加70.7%。其中木马病毒580992个,后门病毒194581个,两者之和超过77万,占总体病毒的84.5%。这两类病毒都以侵入用户电脑,窃取网游账号、银行和股票账号等信息为目的,带有直接的经济利益特征。
注1:关于调整本报告病毒数统计口径的说明:
关于新增病毒的数目,本报告采用“病毒样本数”,2007年上半年及以前的报告为“病毒记录数”。
病毒样本数:指的是瑞星公司收到的病毒文件数,包括而不限于exe、dll、com等类型文件。这些文件的大小、MD5值等都不相同,但文件名可能相同。
病毒记录数:指的是瑞星杀毒软件病毒库内的特征码条数,每条特征码可以查杀一个到多个病毒样本。
影响病毒记录数的因素:由于每个杀毒软件的核心引擎、使用技术不同,查杀同等数量病毒样本需要的病毒记录数不同,这样的差别,甚至存在于杀毒软件的不同版本上。例如,2007年上半年瑞星在病毒库中13万条记录,随后对其进行优化,优化后仅需11万。
这样,病毒记录数已经不能客观的反应病毒疫情状况,因此本报告采用“病毒样本数”作为统计依据。
二、毒王、十大病毒和疫情介绍
根据瑞星公司的统计分析,今年全国约有7300多万台电脑(包含企业用户)曾经被病毒感染,中国大陆地区已经成为全球电脑病毒危害最严重的地区。
其中,以盗取网络游戏帐号为目的编写的“网游盗号木马”病毒成为新的毒王,“QQ通行证”病毒和“灰鸽子”分列第二、第三位。在各省疫情方面,广东省以911余万台次的数量领先,江苏、浙江等省市紧随其后。本次统计的前五个省市,染毒计算机都超过了350万台次。
十大病毒排名如下:
1、网游盗号木马(Trojan.PSW.Win32.OnlineGames)
2、QQ通行证(Trojan.PSW.QQPass)
3、灰鸽子(Backdoor.Win32.Gpigeon)
4、魔兽世界木马(Trojan.PSW.Win32.WoWar)
5、威金(Worm.Viking)
6、尼姆亚(熊猫烧香Worm.Nimaya)
7、泽拉丁(Worm.Mail.Win32.Zhelatin)
8、AUTO蠕虫(Trojan.IMMSG.Win32.TBMSG)
9、传奇终结者(Trojan.PSW.Win32.Lmir)
10、帕虫(Worm.Win32.Pabug)
在2007年,黑客集团利用加壳手段“工业化生产病毒”成为趋势,他们只要从网上下载加壳工具,就可以自动生产出病毒。这使得新病毒样本的数目疯狂增长,从2006年的53万暴增到2007年的91万,同比增长70%,其中绝大部分是工具自动生产的加壳病毒。
同时,病毒传播手段的改进,包括U盘传播、ARP局域网传播、网页挂马等促使病毒传播能力强化。同时,一些广泛使用的流行软件,如百度搜霸等安全漏洞被利用,上述因素的综合作用,给中国大陆地区的互联网和电脑用户造成巨大的威胁。
三、2007年病毒趋势分析
1、加壳病毒泛滥,病毒样本暴增
2007年,互联网上出现许多自动给病毒加壳的工具,黑客只要下载这些工具,就可以改变已有病毒的“面貌”,使得杀毒软件无法识别,网上已有近千种加壳工具,黑客们利用这些工具,“批量生产”出大量恶性病毒。在今年的90余万新样本中,有相当大的部分属于这类“变脸” 病毒。
如此巨量的病毒样本,给反病毒厂商带来了很大的处理压力。针对此种情况,瑞星公司采用了多种技术方式综合使用的办法,包括虚拟机脱壳引擎的改进和优化,木马强杀技术、主动防御技术等等。
技术上的改进,大大增强了瑞星杀毒软件对加壳病毒的处理能力。例如:瑞星2007年截获病毒样本91万,而实际加入病毒库中的记录为27万条,平均每条记录可以查杀3.3个病毒样本。
2、U盘病毒肆虐
随着网络视频、音乐、手机与电脑文件交换发展,U盘、MP3等可移动介质被黑客广泛利用来传播病毒。只要U盘在中毒电脑上使用过,就会被植入病毒,当它被拿到别的电脑上使用时,就会感染更多的机器。
目前通过U盘传播的病毒占据总病毒数的比例,从2006年的不足10%,上升到2007年的32%左右。而且,该传播方式往往和其它方式结合,以取得更好的传播效果。在瑞星杀毒软件2008版中,专门加入了“U盘病毒免疫”功能,只要用户安装之后,就会自动启动,使U盘病毒无法侵入用户电脑。
3、ARP局域网攻击
ARP地址解析协议是一种常用的网络协议,每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址一一对应,如果这个表被修改,则会出现网络无法连通,或者访问的网页被劫持。黑客利用ARP协议存在的缺陷,侵入某台电脑之后发送ARP欺骗攻击数据包,造成局域网内所有用户在访问网络时,收到的都是带毒的网页。
如果中毒电脑是位于数据中心内的服务器,则其所在vlan内的其他网站服务器在响应用户的http请求时,返回的页面也将带毒,这样遭受危害的客户端机器会以几何级数迅速增多,危害极为严重。2007年,使用ARP攻击感染局域网的病毒,在企业局域网、校园网络等特殊环境下造成了很大威胁。
4、网页挂马的流行
2007年,很多流行应用软件,包括百度搜霸、realplayer、Qvod等都曾出现安全漏洞。对于很多用户来讲,只要这些软件能够正常使用,就不会去升级新版本,这样使得很多用户的电脑都存在漏洞。这些用户去访问带毒网站的时候,很容易就会被感染。
同时,现在黑客们往往会利用社会热点来实施网页挂马攻击,例如电影《色戒》、贝布托夫人遇刺等,都曾被黑客利用来传播病毒。由于通过“网页挂马”可以快速的批量入侵大量计算机,获取经济利益,因此“网页挂马”成为黑客常用的攻击手段。
四、典型病毒现象、原因和解决措施
2007年新增的病毒中,绝大部分是木马和后门病毒,感染电脑后一般不会出现很典型的病毒现象。但是,由于其要想达到自己的破坏目的,一般会破坏杀毒软件、正常应用程序等。病毒产生的常见破坏现象有下列七种,普通用户可以根据列表来发现病毒的蛛丝马迹,并采用针对性的防护措施来防止:
1、网游、网银、QQ等密码账号被盗
2007年,瑞星截获窃取用户的账号木马和后门病毒共计77万,占据总体比例的84.5%,病毒数量暴增,用户电脑存在漏洞的现象也愈加严重,这就造成盗号现象高居不下的严峻局面。
对于这些盗号病毒,瑞星在2007年推出了“账号保险柜”技术,它是主动防御技术的延伸,集成在瑞星杀毒软件2008版中。只要用户安装了瑞星杀毒软件,电脑上重要的网游、网银等程序就会被自动放入“账号保险柜”,阻止未知木马的侵袭。
2、经常收到QQ、MSN好友发来的带毒网站
MSN蠕虫、QQ尾巴病毒,仍然是黑客喜欢的病毒传播方式之一。瑞星杀毒软件2008版中的主动防御功能,可以阻止未知程序注入内存、阻止模拟键盘输入等,从根本上阻止病毒向外滥发消息。用户只要把QQ、MSN加入“账号保险柜”,就可以阻止病毒向外发送消息。
3、软件运行异常,任务管理器等常用软件不能运行
任务管理器、softice等专业软件,往往被用来手工清除病毒。为了对抗清除,大多数病毒会强行终止这些软件的进程,使其无法运行或者功能不全。针对此类威胁,用户可以采用主动防御里的“应用程序”保护,把易受攻击的程序保护起来。
4、电脑运行变慢
很多病毒会启动多个进程,进行多种危险操作,大量耗用系统资源,使电脑运行变慢。当然,流氓软件、系统垃圾等等也可能造成同样的现象。用户可以先对电脑进行全面的病毒扫描,再利用卡卡上网安全助手清除系统垃圾和流氓软件,这样既可以使电脑的运行速度大大加快。
5、电脑无故弹出黄色暴力网页,或频繁弹出广告
这是由于木马病毒潜伏在后台,强行把用户引导到不良网站上。用户可以先对电脑进行全面的病毒扫描,再利用卡卡上网安全助手清除流氓软件。
6、IE浏览器首页被修改
很多木马会频繁修改系统设置,强行把浏览器的首页锁定为商业网站或不良网站。用户可以先对电脑进行全面的病毒扫描,再利用卡卡上网安全助手清除流氓软件。(一定要先杀毒,因为病毒会锁定系统设置,不清除的话无法改回原样)
7、系统时间被修改
由于一些国外杀毒软件在系统时间的处理上存在瑕疵,当系统时间异常时会失效,无法正常运行。很多病毒利用了这一点,把系统时间修改之后使其关闭,然后再侵入用户系统进行破坏。用户可以利用瑞星杀毒软件对电脑进行全面扫描,清除病毒后即可手工设置回来。
【相关文章】
2007年电脑病毒疫情和互联网安全报告(1)
欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com |
关注天下网吧微信,了解网吧网咖经营管理,安装维护:
本文来源:塞迪网 作者:佚名