瑞星年度安全报告:大陆地区病毒泛滥成灾

KLASDFJI · 发表于 2008-3-7 16:47:15

3月4日，国内权威信息安全厂商瑞星公司发布《中国大陆地区2007年电脑病毒疫情和互联网安全报告》，报告指出，黑客利用加壳等手段"产业化、自动化生产病毒"成为趋势，使得电脑病毒数量暴增。2007年瑞星截获病毒样本数高达917839个，比去年增加70%。其中木马和后门病毒占总体病毒的 84.5%，总数约为77万。

据了解，以前的病毒制造者和安全厂商之间的对抗，主要是逃避查杀，目前则发展到主动对抗。根据监测到的情况，众多黑客在以瑞星等主流杀毒软件为目标，进行专门的攻防试验，特别是针对主流杀毒软件的"主动防御"等新功能，试图制造可以越过"主动防御"或者直接关闭杀毒软件的病毒。瑞星反病毒专家表示，尽管目前的"主动防御"技术在实际应用中取得了良好的效果，但黑客技术的发展也可能给其带来威胁，因此需要不断改进和提高。

　　A、2007年电脑病毒疫情统计和分析

　　一、2007年电脑病毒数量统计

　　2007年瑞星公司共截获新病毒样本917839个（注1），比去年增加70.7%。其中木马病毒580992个，后门病毒194581个，两者之和超过77万，占总体病毒的84.5%。这两类病毒都以侵入用户电脑，窃取网游账号、银行和股票账号等信息为目的，带有直接的经济利益特征。

图1 2004-2007病毒样本数对比

图2 2007年截获各类病毒比例

　　注1：关于调整本报告病毒数统计口径的说明：

　　关于新增病毒的数目，本报告采用"病毒样本数"，2007年上半年及以前的报告为"病毒记录数"。

　　病毒样本数：指的是瑞星公司收到的病毒文件数，包括而不限于exe、dll、com等类型文件。这些文件的大小、MD5值等都不相同，但文件名可能相同。

　　病毒记录数：指的是瑞星杀毒软件病毒库内的特征码条数，每条特征码可以查杀一个到多个病毒样本。

　　影响病毒记录数的因素：由于每个杀毒软件的核心引擎、使用技术不同，查杀同等数量病毒样本需要的病毒记录数不同，这样的差别，甚至存在于杀毒软件的不同版本上。例如，2007年上半年瑞星在病毒库中13万条记录，随后对其进行优化，优化后仅需11万。

　　这样，病毒记录数已经不能客观的反应病毒疫情状况，因此本报告采用"病毒样本数"作为统计依据。

　　二、毒王、十大病毒和疫情介绍

　　根据瑞星公司的统计分析，今年全国约有7300多万台电脑（包含企业用户）曾经被病毒感染，中国大陆地区已经成为全球电脑病毒危害最严重的地区。

　　其中，以盗取网络游戏帐号为目的编写的"网游盗号木马"病毒成为新的毒王，"QQ通行证"病毒和"灰鸽子"分列第二、第三位。在各省疫情方面，广东省以911余万台次的数量领先，江苏、浙江等省市紧随其后。本次统计的前五个省市，染毒计算机都超过了350万台次。

　　十大病毒排名如下：

　　1、网游盗号木马（Trojan.PSW.Win32.OnlineGames）

　　2、QQ通行证（Trojan.PSW.QQPass）

　　3、灰鸽子（Backdoor.Win32.Gpigeon）

　　4、魔兽世界木马（Trojan.PSW.Win32.WoWar）

　　5、威金（Worm.Viking）

　　6、尼姆亚（熊猫烧香Worm.Nimaya）

　　7、泽拉丁（Worm.Mail.Win32.Zhelatin）

　　8、AUTO蠕虫（Trojan.IMMSG.Win32.TBMSG）

　　9、传奇终结者（Trojan.PSW.Win32.Lmir）

　　10、帕虫（Worm.Win32.Pabug）

图3 各地区病毒统计

　　在2007年，黑客集团利用加壳手段"工业化生产病毒"成为趋势，他们只要从网上下载加壳工具，就可以自动生产出病毒。这使得新病毒样本的数目疯狂增长，从2006年的53万暴增到2007年的91万，同比增长70%，其中绝大部分是工具自动生产的加壳病毒。

　　同时，病毒传播手段的改进，包括U盘传播、ARP局域网传播、网页挂马等促使病毒传播能力强化。同时，一些广泛使用的流行软件，如百度搜霸等安全漏洞被利用，上述因素的综合作用，给中国大陆地区的互联网和电脑用户造成巨大的威胁。

三、2007年病毒趋势分析

　　1、加壳病毒泛滥，病毒样本暴增。

　　2007年，互联网上出现许多自动给病毒加壳的工具，黑客只要下载这些工具，就可以改变已有病毒的"面貌"，使得杀毒软件无法识别，网上已有近千种加壳工具，黑客们利用这些工具，"批量生产"出大量恶性病毒。在今年的90余万新样本中，有相当大的部分属于这类"变脸" 病毒。

　　如此巨量的病毒样本，给反病毒厂商带来了很大的处理压力。针对此种情况，瑞星公司采用了多种技术方式综合使用的办法，包括虚拟机脱壳引擎的改进和优化，木马强杀技术、主动防御技术等等。

　　技术上的改进，大大增强了瑞星杀毒软件对加壳病毒的处理能力。例如：瑞星2007年截获病毒样本91万，而实际加入病毒库中的记录为27万条，平均每条记录可以查杀3.3个病毒样本。

图4 加壳病毒示意图

　　2、U盘病毒肆虐

　　随着网络视频、音乐、手机与电脑文件交换发展，U盘、MP3等可移动介质被黑客广泛利用来传播病毒。只要U盘在中毒电脑上使用过，就会被植入病毒，当它被拿到别的电脑上使用时，就会感染更多的机器。

　　目前通过U盘传播的病毒占据总病毒数的比例，从2006年的不足10%，上升到2007年的32%左右。而且，该传播方式往往和其它方式结合，以取得更好的传播效果。在瑞星杀毒软件2008版中，专门加入了"U盘病毒免疫"功能，只要用户安装之后，就会自动启动，使U盘病毒无法侵入用户电脑。

　　3、ARP局域网攻击

　　ARP地址解析协议是一种常用的网络协议，每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址一一对应，如果这个表被修改，则会出现网络无法连通，或者访问的网页被劫持。黑客利用ARP协议存在的缺陷，侵入某台电脑之后发送ARP欺骗攻击数据包，造成局域网内所有用户在访问网络时，收到的都是带毒的网页。

图5 arp攻击示意图

　　如果中毒电脑是位于数据中心内的服务器，则其所在vlan内的其他网站服务器在响应用户的http请求时，返回的页面也将带毒，这样遭受危害的客户端机器会以几何级数迅速增多，危害极为严重。2007年，使用ARP攻击感染局域网的病毒，在企业局域网、校园网络等特殊环境下造成了很大威胁。

　　4、网页挂马的流行

　　2007年，很多流行应用软件，包括百度搜霸、realplayer、Qvod等都曾出现安全漏洞。对于很多用户来讲，只要这些软件能够正常使用，就不会去升级新版本，这样使得很多用户的电脑都存在漏洞。这些用户去访问带毒网站的时候，很容易就会被感染。

图6 利用《色戒》传播病毒

　　同时，现在黑客们往往会利用社会热点来实施网页挂马攻击，例如电影《色戒》、贝布托夫人遇刺等，都曾被黑客利用来传播病毒。由于通过"网页挂马"可以快速的批量入侵大量计算机，获取经济利益，因此"网页挂马"成为黑客常用的攻击手段。

xiaomiemi · 发表于 2008-3-10 17:48:54

帖子不错，怪不得我想怎么老中毒，现在太猖獗了吧，瑞星好象还可以，等下下个看看

sesun · 发表于 2008-3-13 15:16:34

瑞星太烂了，，，除了搞点新闻，，，还能干啥

落落 · 发表于 2008-3-18 13:42:29

原帖由 sesun 于 2008-3-13 15:16 发表
瑞星太烂了，，，除了搞点新闻，，，还能干啥

反正我一直用瑞星,并且会一直用下去.
国内一些没什么本事的杀软,整天就知道眼红跟妒忌人家瑞星.
瑞星只是树大招风啊.

青青河边草 · 发表于 2008-3-18 13:45:03

原帖由 sesun 于 2008-3-13 15:16 发表
瑞星太烂了，，，除了搞点新闻，，，还能干啥

这位版友说得我不同意，我觉得瑞星很好用呢，尤其适合我这样的菜鸟。

weibokejiss · 发表于 2008-3-18 14:06:49

我就不这样认为呢,习惯了用瑞星,我认为功能方面很不错,经常可以升级,不看好其它的杀毒软件,所以不常用.我钟情于瑞星,嘿嘿.

瑞星年度安全报告:大陆地区病毒泛滥成灾

回复 2# 的帖子