在2008年病毒呈现七个方面特点，总结起来就是通过越多的途径和手段，保护自己传播自己，越来越多的安全事件更具有目的性、针对性。主要有以下七个特点：

1。是病毒总数仍旧在快速增长
 
从柱状图很容易看出来，04到07年，病毒数量增长了至少有15倍，有的时候我们监测网一天收获的样本比以往一个月收获的样本还多，不仅对所有反病毒厂商来说都是非常严峻的考验。为什么在06、07年病毒数量会有如此大规模的增长呢？之后分析中会说明原因。

2.社会工程学日益流行

2008年病毒发展的第二个趋势是社会工程学日益流行，病毒开始利用人自己的弱点来进行破坏活动。所谓社会工程学并不是很新的东西，从很早的黑客开始就开始用这个手段，最典型的社会工程学就是黑客给你打个电话，说我是网关，把密码告诉我，这样获得基本信息。为什么我们现在提这个事情呢？因为以往用这个方法都是人，包括前两年网游盗号也是这种方法，说我是网管，把密码告诉我，你中奖了。现在我们发现病毒本身在利用这种方式。比如“有的病毒在MSN上挂个机器人，上面说我这里有个很好的职位，如果你要跟他说话，他就会自动给你说，我现在忙着，但是我这有产品资料你先看，等会儿再聊，然后发个包，包里是病毒。这是社会工程学的一种应用。”

3.软件漏洞正在导致日益严重的经济损失
 
这里提到的是软件漏洞不是操作系统漏洞，我们知道从红色代码开始的关注操作系统漏洞阶段，包括其后的振荡波、冲击波这些病毒都利用操作系统的漏洞，才导致大规模的泛滥。这里提到的是软件漏洞导致日益严重的损失，是因为操作系统漏洞已经被网管，甚至很多计算机用户所熟知，操作系统上来必须打补丁，不打补丁就很危险。操作系统漏洞，一方面用户重视，另外微软也很重视，把主要安全漏洞都补上。于是，黑客就和病毒制造者把眼光转向了应用软件，包括微软自己的应用软件IE、OFFICE系列的东西，包括常用的Firefox，以及苹果的很多软件，很多知名软件都存在漏洞。包括现在大网站曾经也出现过漏洞。

现在网上漏洞，最流行的漏洞包括realplayer漏洞，联众游戏空间的漏洞，包括很多播放功能软件的漏洞等，这些软件的漏洞其实都很快做了修补，但是用户群如此太广，还有非常多的用户没有修补这些漏洞，没有升级最新的版本。而且它不像系统，会提示你升级，由此导致软件漏洞被越来越多的利用。

像OFFICE系列，一直爆出各种漏洞，这就导致了很隐蔽的攻击方式。比如之前有计算机基本经验的用户，打开WORD文档，不含宏就没有问题，随便看，随着漏洞被公开，病毒制造者精心构造一个文档，里面不包含宏，但是你执行后，有个代码会执行，本来觉得没有问题的东西也存在风险了。大部分用户不知道风险，会很放心的打开这些文件，就很容易被病毒所攻击。

4.各种壳被广泛利用
 
壳的概念在DOS时代就有，壳指磁盘加密软件的一个加密程序，当时设计加壳软件作用有两个，一个是在DOS时代，我们都用磁盘拷贝东西，软件太大，不方便携带，如果打了压缩包，每次用还得解，比较麻烦。这种壳是把软件压缩，压缩完还是EXE，直接可以执行，很方便，能让软件变小。另外一方面，压缩的过程中还可以做一些保护工作，在DOS时代，因为程序比较小，比较容易做这项工程，也是保护软件自身知识产权的方式。到了WINDOWS后，现在大家不在乎文件大小了，但是被发现了这种壳会很容易做成加壳病毒，用了加壳工具后，这个事情很简单，基本操作命令加个壳就可以产生新的病毒，在网络上很容易可以找到不同公司出的不同版本的加壳工具，至少可以很容易做出上百个变种。形象的说，加壳就像穿马甲，还可以互相重叠，先加A再加B，也可以先加B再加A，就导致有无数可能性，在不费任何精力改病毒原始程序的情况下，可以做出无数种病毒，这也是这两年病毒数量上升如此之快的原因之一。

很多年前，大家说病毒的时候都在说病毒自身的加密技术，现在有了被病毒利用的加壳工具，相当于把这做的更专业化，做病毒的只做病毒部分，对于加秘，反跟踪部分，还包括动态加解秘，这部分技术有很专业人给做好，而且有一些软件还是商业级别的，所以加壳被广泛利用，给所有反病毒厂商提出很大的挑战，就是如何应对壳的问题。

5.传播手段的日益多样化
 
刚才提到的软盘是载体，以前很多病毒通过软盘来传播，CIH当时很大程度借助盗版光盘传播，在往后通过邮件方式。从现在来讲，至少30%以上病毒是通过移动存储来传播，当们有一些封闭的政务网、官网，往往通过移动存储设备传播的更高，因为与网络不连通的。另外即时通讯工具，WEB浏览器，只要有用户聚集的群体，就有传播手段。如果把手机这些东西包括起来，那么传播手段更多样化，包括彩信、蓝牙，都可以传播病毒。另外短信是不会传播病毒的。

6.ARP攻击频繁
2008年ARP攻击呈下降趋势，但在学校，仍然经常会发生这类事件，随着对IP管理技术的日益成熟，已经受到很好的控制。

7.僵尸网络遍布互联网
 
所有僵尸网络都在使用一些木马软件，用僵尸软件去感染用户，感染用户之后，主要目标不是为了从你机子上窃取木马，主要是控制你的机器，把你当成傀儡机使用。僵尸网络能干什么呢？基本有组织犯罪都是利用僵尸网络来做。现在被报道的DDOS攻击事件不是很多，其实这类案件非常多，比如黑客威胁某一些网站，也有竞争对手互相之间的攻击，都在利用DDOS攻击。包括大规模发送垃圾邮件也是利用DDOS。因为背后有很强的经济利益驱动，这些事情屡禁不止。
 
这两张统计图比较有意思，蓝色这张是僵尸网络相关的病毒总的数量统计，可以看出来，从2006到2007年，病毒总的数量呈下降趋势。右面这图是BOT类病毒家族数，从2006到2007年，包括前几年呈稳步增长趋势。也就是说病毒家族数在增加，但是病毒总量反而下降了。说明什么问题呢？每个家族病毒数变少了。僵尸网络偏向于小家族。为什么这样呢？也好理解，这类病毒背后的趋势是有直接经济利益的，为了达到经济利益，目的并不是造成轰动，是越隐蔽越好，所以做到家族小型化，不但隐蔽，当被反病毒查到时，只要放弃这个家族就好了。所以黑客宁可多控制几个家族，这样有更多存活的机会。