3月4日，国内权威信息安全厂商瑞星公司发布《中国大陆地区2007年电脑病毒疫情和互联网安全报告》，报告指出，黑客利用加壳等手段"产业化、自动化生产病毒"成为趋势，使得电脑病毒数量暴增。2007年瑞星截获病毒样本数高达917839个，比去年增加70%。

其中木马和后门病毒占总体病毒的84.5%，总数约为77万。

据了解，以前的病毒制造者和安全厂商之间的对抗，主要是逃避查杀，目前则发展到主动对抗。根据监测到的情况，众多黑客在以瑞星等主流杀毒软件为目标，进行专门的攻防试验，特别是针对主流杀毒软件的"主动防御"等新功能，试图制造可以越过"主动防御"或者直接关闭杀毒软件的病毒。瑞星反病毒专家表示，尽管目前的"主动防御"技术在实际应用中取得了良好的效果，但黑客技术的发展也可能给其带来威胁，因此需要不断改进和提高。

A、2007年电脑病毒疫情统计和分析

一、2007年电脑病毒数量统计

2007年瑞星公司共截获新病毒样本917839个（注1），比去年增加70.7%。其中木马病毒580992个，后门病毒194581个，两者之和超过77万，占总体病毒的84.5%。这两类病毒都以侵入用户电脑，窃取网游账号、银行和股票账号等信息为目的，带有直接的经济利益特征。

图1 2004-2007病毒样本数对比

图2 2007年截获各类病毒比例

注1：关于调整本报告病毒数统计口径的说明：

关于新增病毒的数目，本报告采用"病毒样本数"，2007年上半年及以前的报告为"病毒记录数"。

病毒样本数：指的是瑞星公司收到的病毒文件数，包括而不限于exe、dll、com等类型文件。这些文件的大小、MD5值等都不相同，但文件名可能相同。

病毒记录数：指的是瑞星杀毒软件病毒库内的特征码条数，每条特征码可以查杀一个到多个病毒样本。

影响病毒记录数的因素：由于每个杀毒软件的核心引擎、使用技术不同，查杀同等数量病毒样本需要的病毒记录数不同，这样的差别，甚至存在于杀毒软件的不同版本上。例如，2007年上半年瑞星在病毒库中13万条记录，随后对其进行优化，优化后仅需11万。

这样，病毒记录数已经不能客观的反应病毒疫情状况，因此本报告采用"病毒样本数"作为统计依据。

二、毒王、十大病毒和疫情介绍

根据瑞星公司的统计分析，今年全国约有7300多万台电脑（包含企业用户）曾经被病毒感染，中国大陆地区已经成为全球电脑病毒危害最严重的地区。

其中，以盗取网络游戏帐号为目的编写的"网游盗号木马"病毒成为新的毒王，"QQ通行证"病毒和"灰鸽子"分列第二、第三位。在各省疫情方面，广东省以911余万台次的数量领先，江苏、浙江等省市紧随其后。本次统计的前五个省市，染毒计算机都超过了350万台次。

十大病毒排名如下：

1、网游盗号木马（Trojan.PSW.Win32.OnlineGames）

2、QQ通行证（Trojan.PSW.QQPass）

3、灰鸽子（Backdoor.Win32.Gpigeon）

4、魔兽世界木马（Trojan.PSW.Win32.WoWar）

5、威金（Worm.Viking）

6、尼姆亚（熊猫烧香Worm.Nimaya）

7、泽拉丁（Worm.Mail.Win32.Zhelatin）

8、AUTO蠕虫（Trojan.IMMSG.Win32.TBMSG）

9、传奇终结者（Trojan.PSW.Win32.Lmir）

10、帕虫（Worm.Win32.Pabug）

图3 各地区病毒统计

在2007年，黑客集团利用加壳手段"工业化生产病毒"成为趋势，他们只要从网上下载加壳工具，就可以自动生产出病毒。这使得新病毒样本的数目疯狂增长，从2006年的53万暴增到2007年的91万，同比增长70%，其中绝大部分是工具自动生产的加壳病毒。

同时，病毒传播手段的改进，包括U盘传播、ARP局域网传播、网页挂马等促使病毒传播能力强化。同时，一些广泛使用的流行软件，如百度搜霸等安全漏洞被利用，上述因素的综合作用，给中国大陆地区的互联网和电脑用户造成巨大的威胁。

三、2007年病毒趋势分析

1、加壳病毒泛滥，病毒样本暴增。

2007年，互联网上出现许多自动给病毒加壳的工具，黑客只要下载这些工具，就可以改变已有病毒的"面貌"，使得杀毒软件无法识别，网上已有近千种加壳工具，黑客们利用这些工具，"批量生产"出大量恶性病毒。在今年的90余万新样本中，有相当大的部分属于这类"变脸" 病毒。

如此巨量的病毒样本，给反病毒厂商带来了很大的处理压力。针对此种情况，瑞星公司采用了多种技术方式综合使用的办法，包括虚拟机脱壳引擎的改进和优化，木马强杀技术、主动防御技术等等。

技术上的改进，大大增强了瑞星杀毒软件对加壳病毒的处理能力。例如：瑞星2007年截获病毒样本91万，而实际加入病毒库中的记录为27万条，平均每条记录可以查杀3.3个病毒样本。

图4 加壳病毒示意图

2、U盘病毒肆虐

随着网络视频、音乐、手机与电脑文件交换发展，U盘、MP3等可移动介质被黑客广泛利用来传播病毒。只要U盘在中毒电脑上使用过，就会被植入病毒，当它被拿到别的电脑上使用时，就会感染更多的机器。

目前通过U盘传播的病毒占据总病毒数的比例，从2006年的不足10%，上升到2007年的32%左右。而且，该传播方式往往和其它方式结合，以取得更好的传播效果。在瑞星杀毒软件2008版中，专门加入了"U盘病毒免疫"功能，只要用户安装之后，就会自动启动，使U盘病毒无法侵入用户电脑。

3、ARP局域网攻击

ARP地址解析协议是一种常用的网络协议，每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址一一对应，如果这个表被修改，则会出现网络无法连通，或者访问的网页被劫持。黑客利用ARP协议存在的缺陷，侵入某台电脑之后发送ARP欺骗攻击数据包，造成局域网内所有用户在访问网络时，收到的都是带毒的网页。

图5 arp攻击示意图

如果中毒电脑是位于数据中心内的服务器，则其所在vlan内的其他网站服务器在响应用户的http请求时，返回的页面也将带毒，这样遭受危害的客户端机器会以几何级数迅速增多，危害极为严重。2007年，使用ARP攻击感染局域网的病毒，在企业局域网、校园网络等特殊环境下造成了很大威胁。

4、网页挂马的流行

2007年，很多流行应用软件，包括百度搜霸、realplayer、Qvod等都曾出现安全漏洞。对于很多用户来讲，只要这些软件能够正常使用，就不会去升级新版本，这样使得很多用户的电脑都存在漏洞。这些用户去访问带毒网站的时候，很容易就会被感染。

图6 利用《色戒》传播病毒

同时，现在黑客们往往会利用社会热点来实施网页挂马攻击，例如电影《色戒》、贝布托夫人遇刺等，都曾被黑客利用来传播病毒。由于通过"网页挂马"可以快速的批量入侵大量计算机，获取经济利益，因此"网页挂马"成为黑客常用的攻击手段。

图7 漏洞攻击示意图

四、典型病毒现象、原因和解决措施

2007年新增的病毒中，绝大部分是木马和后门病毒，感染电脑后一般不会出现很典型的病毒现象。但是，由于其要想达到自己的破坏目的，一般会破坏杀毒软件、正常应用程序等。病毒产生的常见破坏现象有下列七种，普通用户可以根据列表来发现病毒的蛛丝马迹，并采用针对性的防护措施来防止：

1、网游、网银、QQ等密码账号被盗。

2007年，瑞星截获窃取用户的账号木马和后门病毒共计77万，占据总体比例的84.5%，病毒数量暴增，用户电脑存在漏洞的现象也愈加严重，这就造成盗号现象高居不下的严峻局面。

对于这些盗号病毒，瑞星在2007年推出了"账号保险柜"技术，它是主动防御技术的延伸，集成在瑞星杀毒软件2008版中。只要用户安装了瑞星杀毒软件，电脑上重要的网游、网银等程序就会被自动放入"账号保险柜"，阻止未知木马的侵袭。

2、经常收到QQ、MSN好友发来的带毒网站。

MSN蠕虫、QQ尾巴病毒，仍然是黑客喜欢的病毒传播方式之一。瑞星杀毒软件2008版中的主动防御功能，可以阻止未知程序注入内存、阻止模拟键盘输入等，从根本上阻止病毒向外滥发消息。用户只要把QQ、MSN加入"账号保险柜"，就可以阻止病毒向外发送消息。

3、软件运行异常，任务管理器等常用软件不能运行。

任务管理器、softice等专业软件，往往被用来手工清除病毒。为了对抗清除，大多数病毒会强行终止这些软件的进程，使其无法运行或者功能不全。针对此类威胁，用户可以采用主动防御里的"应用程序"保护，把易受攻击的程序保护起来。

4、电脑运行变慢。

很多病毒会启动多个进程，进行多种危险操作，大量耗用系统资源，使电脑运行变慢。当然，流氓软件、系统垃圾等等也可能造成同样的现象。用户可以先对电脑进行全面的病毒扫描，再利用卡卡上网安全助手清除系统垃圾和流氓软件，这样既可以使电脑的运行速度大大加快。

5、电脑无故弹出黄色暴力网页，或频繁弹出广告。

这是由于木马病毒潜伏在后台，强行把用户引导到不良网站上。用户可以先对电脑进行全面的病毒扫描，再利用卡卡上网安全助手清除流氓软件。

6、IE浏览器首页被修改。

很多木马会频繁修改系统设置，强行把浏览器的首页锁定为商业网站或不良网站。用户可以先对电脑进行全面的病毒扫描，再利用卡卡上网安全助手清除流氓软件。（一定要先杀毒，因为病毒会锁定系统设置，不清除的话无法改回原样）

7、系统时间被修改。

由于一些国外杀毒软件在系统时间的处理上存在瑕疵，当系统时间异常时会失效，无法正常运行。很多病毒利用了这一点，把系统时间修改之后使其关闭，然后再侵入用户系统进行破坏。用户可以利用瑞星杀毒软件对电脑进行全面扫描，清除病毒后即可手工设置回来。

B、互联网用户安全威胁分析

一、流行应用软件成为黑客/病毒的攻击重点

以前，wndows系统的脆弱被大家公认，但是由于微软会定时发布相应的系统补丁，用户只要即使弥补，就不会造成太大的危害。在2007年中，这种情况有了巨大的改变，百度搜霸、暴风影音、Qvod（Q播）、realplayer等流行软件取代了windows的"漏洞王"地位。

它们不但有着巨大的用户群体，而且没有固定的补丁发布期限；很多用户只要能正常使用，就不会因为安全问题而去安装更新的版本，这样的话，数千万存在漏洞的软件就被安装到用户的电脑之中，用户去浏览带毒网站时很容易被病毒感染。

根据瑞星的统计，2007年中，被黑客利用的应用软件漏洞如下图所示：

图8 应用软件漏洞利用分布图

二、windows系统漏洞

Windows系统漏洞可能给系统造成非常大的安全损害。2007年4月，微软浏览器的"动画图标文件栈溢出漏洞"被曝光，其影响包括vista在内的windows主流操作系统产品。在微软发布补丁之前，利用该漏洞的攻击方法已经在互联网上传播，并且出现了利用该漏洞的"ANI蠕虫"病毒。

"ANI蠕虫"病毒的传播手段和危害方式和臭名昭着的"熊猫烧香"病毒类似，但是由于其使用的是微软尚未发布补丁的漏洞进行传播，具有更强的危害性，瑞星为此发出2007年第一个"橙色安全警报"（二级）。

相对来讲，弥补系统漏洞的工具和技术都比较成熟。如瑞星杀毒软件2008中集成的"漏洞扫描"，完全采用了傻瓜化的操作模式，用户可以很轻松的弥补系统里所有的漏洞。同时，瑞星主动防御技术中也包含了"系统加固"功能，针对容易遭到病毒攻击的注册表、系统驱动等脆弱点进行保护，可以在很大程度上阻止漏洞型病毒对系统的危害。

三、流氓网站的兴起

2007年，以强迫（诱骗）注册、骗取用户的各种隐私资料为特征的"流氓网站"开始兴起。与传统的钓鱼网站、挂马网站不同，这些"流氓网站"往往是正规的商业公司，他们甚至拥有海外投资背景，有着完备的组织团队。

这些流氓网站往往会抄袭某个国外热门网站的商业模式，例如facebook、youtube等，但是在关键性的环节上采用类似病毒、木马的技术手段，以损害用户的隐私安全、使用感受为代价，取得最大的商业利益。

流氓网站的典型表现包括：

1、强制（诱骗）用户注册，而且用户注册后的帐号无法顺利注销。例如，有的网站在用户要求注销自己的帐户时，不但要求其回答各类复杂的问题，甚至会要求用原始注册邮箱提供注销激活码等

2、网站要求用户填入QQ号、MSN密码、手机号等隐私资料，而用户只要提供这些资料，网站就会以用户的名义，在MSN上骚扰其好友，要求好友注册网站、提供手机号等隐私资料。

3、擅自出售用户的隐私资料获利。例如，有的网站注册之后，就会把用户的手机号、QQ号等出售给需要的商家，于是用户就会不断收到推销保险、推销炒股软件的垃圾短信。

4、有的网站，为了提高自己的浏览量，甚至开发了专门的强制浏览插件，当用户上网时，会在后台偷偷打开自己的网页，借以获取大量广告收入

四、小结：互联网安全趋势恶化

随着网络炒股、网络视频等新兴应用的火爆，用户与网络之间需要越来越多的交互，这就给黑客带来了攻击的机会。而一些基础性程序、应用软件存在漏洞，使得木马病毒、下载器、钓鱼网站等攻击越来越泛滥，整个互联网的安全形势不容乐观。

在日常的安全防护中，不但要重视Windows系统漏洞的弥补，还要注意防范应用软件的漏洞。例如某些IE浏览器的插件、输入法、影音播放等应用软件，都可能成为病毒攻击的对象。用户使用这些软件时不要仅仅关注他们的功能，还要注意其安全性能，并使用最新版本的软件。

C、主动防御：有效解决三大安全问题

安全厂商在与病毒的对抗中，面临着众多的问题，包括反病毒产品的普遍适用性、用户的薄弱安全意识如何用技术弥补、流氓软件（灰色软件）与病毒的模糊辨别等一系列问题。但是在2007年中，有三大问题特别值得重视，它给整个安全行业带来了巨大的压力：

这三个问题是：

第一、如何发现判定未知病毒（未知威胁）。

第二、针对未知病毒（威胁）的泛滥，怎样增强计算机系统的主动防御能力；

第三、如果有些未知病毒的侵入不能完全避免，怎样才能降低它们所带来的损失；

一、如何发现（判定）未知威胁

从2007年的发展状况看，新增病毒数量仍然呈现爆炸式增长，这给病毒分析人员带来越来越大的压力。根据专家介绍，一个熟练的病毒工程师，每天可以分析40-50个样本，而现在每天出现在网络上的病毒样本平均为3000-4000个，这样的产生速度，几乎已经到了厂商捕获和分析能力的极限。

如果不能在技术上遏制这个趋势，那就会产生两个后果：传统的病毒采集渠道不堪重负，在短时间内收集不到必须的样本；而限于现有的病毒分析能力，即使收集到足够的病毒样本，海量的病毒也会让病毒分析人员无所适从。这就导致杀毒软件赖以生存的"特征码扫描"技术面临严峻的挑战。

因此，越来越多的安全厂商开始研究如何快速的发现（判别）未知（威胁），行为分析被认为有效解决这一问题的手段之一。

目前，行为分析主要分为虚拟机方式和监控方式。虚拟机行为分析是模拟操作系统环境，把程序放入虚拟机中"运行"观察程序的系统动作模式（行为）进行判定；而监控行为分析方式是指在真实操作系统环境中拦截（观察）程序的系统动作模式（行为）进行判定。

基于虚拟机的行为分析

瑞星很早就开始对基于虚拟机的行为分析技术进行研究，并在2003年底将该技术应用到瑞星杀毒软件2004版当中。当时的扫描引擎不仅可以有效地发现DOS及Win9X下的感染型未知病毒，并且还能够安全地清除掉这些未知病毒。

由于技术的发展，使得Windows系统越来越复杂，要想模拟出较为"完美"的系统环境需要占用较大的系统资源，这使虚拟机行为分析变得较为困难。尽管如此，虚拟机技术仍然在反病毒领域有着较高的地位，瑞星也没有放弃对虚拟机技术的研究。比如，瑞星杀毒软件2007版采用的虚拟机脱壳引擎就是通过制造一个虚拟的运行环境，对一些加壳加密的病毒进行脱壳，查杀病毒。由于虚拟机脱壳不需要创造一个完整的运行环境，因此对系统资源占用很小，速度也较快。

图9 虚拟机技术

随着计算机硬件技术的不断发展，Intel、AMD的CPU直接支持虚拟机指令，使得虚拟机的执行效率得到很大改善，虚拟机行为分析将会成为未来反病毒软件查杀未知病毒的重要技术手段之一。

基于监控的行为分析技术

基于监控的行为分析技术，瑞星杀毒软件2007版也已经开始采用。IE执行保护是针对目前网络挂马现象严重而开发的功能，它会自动对程序的动作进行判断。当发现带毒网站有试图利用用户计算机漏洞自动下载运行病毒的动作时，自动将其阻止。

瑞星杀毒软件2008中引入的恶意行为检测是一套较为成熟的基于监控的行为分析。它完全模拟反病毒专家分析病毒的过程，先对程序动作进行观察，然后分析程序动作之间的逻辑关系，并使用预装的病毒模式特征库进行判断，进而检测出病毒。

图10 检测未知病毒

由于行为分析技术是基于程序的行为特征进行判断，属于一种模糊判别。因此，行为分析不可避免的会遇到误判的问题。某个主动防御软件的做法是引入白名单进制，发现有误判的就加白名单，致使软件要像升级病毒库一样升级白名单库，同时会造成白名单数据库庞大，对系统资源占用较高的问题。同时，当一个正常软件升级后，必须将其升级版本也加入白名单，否则就会再次发生误判。

为了解决这一问题，瑞星杀毒软件采用了病毒的家族特征判别技术，有效的提高了行为分析的准确率。

图11 主动防御分析流程示意图

D、小结：主动防御的现状和展望

综上所述，尽管主动防御技术在2007年得到了广泛的应用和认可，单单在瑞星软件就有了5000余万用户的大范围实用。但从用户角度来讲，主动防御技术的某些先天弱点还有待改善，例如需要用户交互的问题过多，弹对话框要求用户确认；如果单纯依靠主动防御，则误杀率还不尽如人意等等，这些都是杀毒软件未来的提高方向。

如果在技术上没有新的突破，安全厂商将在这场战斗中处于下风。

2007年里，几乎所有的主流厂商都投入了大量精力，应对互联网络的未知安全威胁。而瑞星公司在这场技术竞争中已经位于前列，07年下半年，瑞星杀毒软件2008版发布，其中集成的"主动防御"、"虚拟机脱壳"、"木马强杀"等技术得到了广大用户的认可，在实际应用中起到决定性的作用。

据专家介绍，主动防御等技术的推出，可以在很大程度上解决目前的病毒数量激增、木马病毒泛滥的实际情况。针对所有厂商面临的三大安全问题，有了比较满意的解决办法。

第一，如何增强系统防御攻击的能力

由于Windows系统的特性，系统中存在着大量可以被病毒利用或者攻击的脆弱点。对2007年新出现的大量病毒分析得出，黑客们已经挖掘出了越来越多的脆弱点，并且在对这些脆弱点的利用及攻击，在技术已经非常成熟。

比如，IFEO劫持（映像劫持）技术是2007年病毒、木马普遍采用的一个攻击手段。通过IFEO劫持，黑客可以很轻易地使一些杀毒软件、个人防火墙及其它安全类工具无法运行。

而Hosts表劫持也是近几年较为流行的一种劫持手段。病毒通过改写系统Hosts文件，可以将用户的正常网络访问转向到黑客指定的网站上。比如，用户输入了正确的网上银行地址，但实际访问的则是黑客实现准备好的一个假冒的银行网站或带毒网站。另外，病毒还利用此种手段阻止一些杀毒软件通过互联网升级。

在瑞星杀毒软件2008版的智能主动防御中，内置了系统加固功能，对系统中易被病毒攻击的注册表、系统进程、系统文件中的数十个脆弱点进行保护，自动阻断病毒对系统的攻击。

第二，如何降低未知威胁（病毒、黑客）攻击带来的损失

由于种种复杂的原因，很多病毒能够突破杀毒软件的防护。例如，用户没有及时更新病毒、系统没有打好补丁。这时候就需要考虑：即使病毒能够侵入用户电脑，也要把用户遭受到的损失减到最低。

获取经济利益已经成为近年来黑客编写病毒的最终目的，2007年截获的病毒中，木马病毒超过六成，并且绝大多数都为盗号木马。虽然病毒数量众多，但它们盗取帐号所用的技术手段几乎相同，均是采用发消息、读写目标程序内存、监听键盘输入等技术，因此，将应用程序的进程隔离、阻止了病毒的这些动作，就可以有效地阻止绝大多数的盗号事件发生。

也就是说，当做好这些保护时，即使木马病毒已经侵入用户电脑，也做不了任何危险操作，不能偷取密码、不能破坏系统进程。这样对用户来讲，安全程度已经大大提高。

瑞星杀毒软件2008版"智能主动防御"中的应用程序保护，及基于该技术的"账号保险柜"即是基于进程保护的理念开发，它可以将用户的网银、网游、QQ等应用程序保护起来。即使用户的计算机不慎感染了新出现的未知盗号木马，也可以最大限度地保护用户的帐号不被黑客盗取。

此外，瑞星"智能主动防御"中的应用程序访问控制可以限定用户指定程序对系统文件、注册表等的访问权限，在不同应用领域也起到重要的作用。例如，在网络服务器上，管理员完全可以禁止除必要程序之外的任何操作，这样病毒就无法利用低权限应用程序的漏洞，来获取更高级的权限。