2006年度，国内的互联网环境因接踵而至的信息安全事件一再掀起了波澜。作为国内领先的信息安全厂商，金山毒霸同数千万国内用户一起见证了对病毒、对流氓软件发出的各种绝击杀手锏。

据2006年金山毒霸全球病毒疫情监测系统的数据，2006年，金山毒霸共截获新增病毒样本总计240156种，主要类型所占的比例如下图所示：



回顾刚刚过去的2006年，安全形势具有如下特点：

1.2006年电脑病毒的感染率呈爆炸式增长：

由于制作工具的泛滥，病毒变种增多。随着计算机技术的普及，病毒的制作也逐渐呈现商业化的运作。某些制作者小组甚至可以根据使用者的要求为其提供针对特定目标的专门版本。病毒程序的模块化使得病毒制作的门槛降低，很多具备一定计算机的用户可以根据自己的需要对其自行组合。因此2006年病毒的变种迅速增加，以典型的“灰鸽子”木马为例，高峰时期几乎每天增加10余个不同变种，迄今为止共出现了一万余种种变种。而且这类木马往往通过自我升级功能频繁的进行更新以对抗被杀病毒软件。

病毒制作产业化的趋势在病毒的传播范围上也有所反映，2006年病毒制作者不再追求大面积的传播，而是特定的有针对性的小面积爆发。同时，制作者通过采用新技术，如不断为其病毒加壳来躲避反病毒软件的查杀。

2.偷：网游，网银盗号现象愈演愈烈：

综合2006年的信息安全形势，“经济利益”毫无疑问已经成为病毒制造者最大的驱动力，病毒制造者已经不再是以炫耀自己的技术为目的，也不再是单打独斗，而是结成了团伙，有的人负责盗取银行或网游帐号，有的人负责销赃，从而形成了其专有的分工合作模式。在国际互联网上，向专门发送垃圾电子邮件的出售一个“垃圾邮件包”即可获利——无怪乎各类盗号病毒层出不穷。

这类病毒的传播不再是漫无目的的，而是具有鲜明的指向性。例如通过游戏网站、网游外挂网站传播木马病毒、盗取用户的相关信息。

在06年截获的各类病毒中，专门盗取网银/网游等网络财产和QQ号的木马占了51%，这类病毒向对去年有明显增长，可见病毒的绝大部份变化都是围绕此中心展开的，它已经成为众多网民面临的第一大威胁。下面图示为：经济病毒的产业示意图。


注释：这条黑色的产业链将盗取的虚拟财产转化为实，又反过为病毒的制作者、传播者和攻击成果的收取者提供更大的资金支持。

3.骗：利用钓鱼网站等形式诈骗用户资产：

网络钓鱼今年也是层出不穷，该类病毒占到金山毒霸截获总数的5.45 %。诈骗者通常利用伪装的电子邮件和欺骗性网址，专门骗取用户财务数据。据分析，网络钓鱼今后将成为困扰个人用户的安全问题一大热点。

目前网络钓鱼出现了一种新的伎俩，他们使用一种动态的JavaScript代码，而不仅是过去所用的静态的假地址栏图像。攻击者通过JAVA程序更改地址栏，修改中毒用户的浏览器，从而可将其诱骗到显示为银行官方站点的假网站，欺骗用户登录达到盗取帐号的目的。

4.抢：以劫持等手段敲诈用户：

今年6月，金山截获国内首个“敲诈(Win32.Hack.SnuHay.a)”木马，该病毒会中止用户系统中常见的杀毒软件进程，并试图隐藏用户文档，让用户误以为文件丢失，病毒乘机则以帮用户恢复数据的名义要求用户向指定的银行账户内汇入定额款项，以达到敲诈钱财的目的。该木马已经相继出现了多个变种，这也是国内首次出现这一类病毒。

而“新敲诈者”木马病毒在未经用户许可的情况偷偷将硬盘上文档文件上传，会造成用户的文件资料泄漏，对用户的商业机密造成极大威胁。

5.蠕虫病毒泛滥，企业内网安全面临新的危机：

06年，蠕虫病毒成为企业内网的噩梦。蠕虫“维金”是一种运行在Windows平台下，集成“可执行文件感染”、“网络感染”、“下载网络木马及其它病毒”的复合型病毒，若用户不幸感染该病毒，将会面临系统瘫痪、要信息泄漏等多重威胁。自6月2日被金山毒霸率先截获以来，截至6月8日16时，受攻击个人用户已由3000多迅速上升到13647人，数十家企业用户网络瘫痪。测结果显示，2005年被首次发现的“威金”病毒在2006年下半年开始发威，病毒具备了木马和蠕虫的双重特征，并且能够通过网络传播，众多中小企业局域网被该病毒攻击瘫痪。

构成“僵尸网络”重要成员的 “高波”(Worm_AgoBot)病毒通过多种系统漏洞进行传播，感染能力很强常驻内存，利用系统多种漏洞和通过远程攻击弱密码系统进行主动传播，蠕虫还会连接IRC服务器，接收并执行黑客命令，使被感染计算机成为“僵尸电脑”。病毒传播过程中，会发送大量网络包，用于扫描局域网内存在漏洞的计算机，可以导致局域网拥堵甚至瘫痪。

6.流氓软件与病毒相互捆绑，利益共享：

06年病毒的传播渠道呈现更加多样化的趋势。在共同的商业利益驱动下，恶意软件和病毒结成联盟，互相捆绑，对用户造成极大困扰，致使99%的互联网用户，都受到流氓软件的侵扰。

恶意软件虽然不具有象病毒一样自动传播和恶意破坏的行为。但它通常通过网页下载、软件捆绑安装等方式悄悄的侵入用户系统。并且具有自动升级、高度隐藏、难以卸载等特点。许多病毒、木马与恶意软件相互捆绑，前者利用后者无孔不入地侵入用户地系统，后者则借助前者极强的传播性在更大地范围内扩散。

2006年，流氓软件越来越多地利用底层驱动保护等技术来对抗防病毒软件地查杀，这也说明两者在进一步互相渗透与融合。2006年，金山毒霸收到的用户关于的投诉情况统计见下图：

在9月份，金山毒霸和其它安全厂商在响应互联网对流氓软件的控诉后，发布了最新的反流氓软件产品，对流氓软件进行专项整治，在10月份收到了明显的效果。大量用户慢慢从流氓软件的阴影中脱离出来。经过金山毒霸的监控，大量知名厂商的产品已经摆脱了“流氓软件”的称呼，改为了正大光明的互联网软件，而其它的比如：飘雪一类的流氓软件测改成了真的病毒，它采用病毒的手段时行传播和安装。最终到2006年底流氓软件咨询量的大减少，也充分说明了流氓软件的影响在逐步衰退。

07年安全形势的预测

1、病毒呈现跨平台扩展

从第一个手机病毒Cabir出现，到现在短短两年的时间，已经出现了三百余种手机病毒，PSP、NDS等游戏平台病毒相继出现，Mac平台病毒今年已开始活跃。基于Web2.0的网络蠕虫近年来也开始流行，他们利用网站XSS(跨站)漏洞进行迅速传播。如在MySpace传播的Samy以及利用Baidu.com空间自动添加好友链接的蠕虫等等。

2、采用新技术技术对抗反病毒软件

将会有越来越多恶意软件、木马程序使用Rootkit技术隐藏自己，如隐藏文件，隐藏连接端口等等，从而达到长期生存的目的。如灰鸽子、恶鹰、PCShare、sdbot等主流病毒都或多或少的采用了Rootkit技术。病毒作者也采用了一些对抗特征识别的技术手段，如加新壳、入口代码混乱、查找修改特征、重编译、频繁升级、加密数据等等。

3、感染病毒死灰复燃

感染病毒曾经一度销声匿迹，但现在感染型病毒又有活跃的迹象。因为优化过的感染的天然特性，更适合时代的发展。现在新流行的感染型主要分为两类，一类是捆绑感染，如Viking，通过频繁升级样本躲避反病毒软件查杀。另外一类是局部感染，只感染几个系统文件，或随机感染某个启动项文件，这样可以很好的躲过启动项检查工具。

4、系统漏洞造成的威胁与日俱增

Microsoft最新的操作系统Vista虽然在安全性方面有了较大提升，但我们对利用系统漏洞传播和攻击的病毒仍然不可掉以轻心。06年“WMF帮凶、狙击波、魔鬼波”说的肆虐，说明在Microsoft发布补丁随后几天之内，由于种种原因，存在补丁更新的空白期，这就仍然使得很多用户的计算机处于危险的状态之下。

[1]2 3