危害程度：分5級(jí)，最高級(jí)為5。我們將危害的種類分為：A破壞或感染用戶系統(tǒng)\終止殺毒軟件，B盜取用戶信息，C能進(jìn)行自我傳播 D廣告行為 E下載其它木馬

5級(jí)：具有上述四種及以上行為的病毒/木馬
4級(jí)：具有述任意三種行為的病毒/木馬
3級(jí)：具有C行為加任意一種行為的病毒/木馬
2級(jí)：具有A B C任意一種行為的病毒/木馬
1級(jí)：具D E任意一種行為的病毒/木馬

    病毒感染：對(duì)于廣義的病毒定義來講，本文所指感染包括病毒感染或木馬入侵。

    病毒感染率：該病毒感染或入侵的計(jì)算機(jī)臺(tái)數(shù)占總感染（或入侵）臺(tái)數(shù)的比率，為方便統(tǒng)計(jì)，統(tǒng)稱為感染率，下同。

    用戶關(guān)注度：我們收集用戶對(duì)病毒的關(guān)注數(shù)據(jù)，如：論壇討論熱度的評(píng)估，新聞及病毒分析報(bào)告的點(diǎn)擊率或關(guān)鍵字熱度，將其分為3級(jí)，熱門、高度、普通。
 
    1. 機(jī)器狗病毒

    機(jī)器狗病毒因最初的版本采用電子狗的照片做圖標(biāo)而被網(wǎng)民命名為“機(jī)器狗”，該病毒變種繁多，多表現(xiàn)為殺毒軟件無法正常運(yùn)行。該病毒的主要危害是充當(dāng)病毒木馬下載器，與AV終結(jié)者病毒相似，病毒通過修改注冊(cè)表，讓大多數(shù)流行的安全軟件失效，然后瘋狂下載各種盜號(hào)工具或黑客工具，給用戶電腦帶來嚴(yán)重的威脅。

    機(jī)器狗病毒直接操作磁盤以繞過系統(tǒng)文件完整性的檢驗(yàn)，通過感染系統(tǒng)文件（比如explorer.exe，userinit.exe,winhlp32.exe等）達(dá)到隱蔽啟動(dòng)；通過底層技術(shù)穿透冰點(diǎn)，影子等還原系統(tǒng)軟件導(dǎo)致大量網(wǎng)吧用戶感染病毒，無法通過還原來保證系統(tǒng)的安全；通過修復(fù)SSDT（就是恢復(fù)安全軟件對(duì)系統(tǒng)關(guān)鍵API的HOOK），映像挾持，進(jìn)程操作等方法使得大量的安全軟件失去作用；聯(lián)網(wǎng)下載大量的盜號(hào)木馬給廣大網(wǎng)民的網(wǎng)絡(luò)虛擬財(cái)產(chǎn)造成巨大威脅，部分機(jī)器狗變種還會(huì)下載ARP惡意攻擊程序?qū)λ�在局域網(wǎng)（或者服務(wù)器）進(jìn)行ARP欺騙影響網(wǎng)絡(luò)安全。

    2. 磁碟機(jī)病毒

    這是一個(gè)下載者病毒,會(huì)關(guān)閉一些安全工具和殺毒軟件并阻止其運(yùn)行；并會(huì)不斷檢測(cè)窗口來關(guān)閉一些殺毒軟件及安全輔助工具 ,對(duì)于不能關(guān)閉的某些輔助工具會(huì)通過發(fā)送窗口信息洪水使得相關(guān)程序因?yàn)橄�息得不到處理處于假死狀態(tài)；破壞安全模式,刪除一些殺毒軟件和實(shí)時(shí)監(jiān)控的服務(wù), 遠(yuǎn)程注入到其它進(jìn)程來啟動(dòng)被結(jié)束進(jìn)程的病毒,,病毒會(huì)在每個(gè)分區(qū)下釋放 AUTORUN.INF來達(dá)到自運(yùn)行. 感染除SYSTEM32目錄外其它目錄下的所有可執(zhí)行文件。 并且會(huì)感染RAR壓縮包內(nèi)的文件。

    3. AV終結(jié)者

    禁用所有殺毒軟件以及大量的安全輔助工具，讓用戶電腦失去安全保障；破壞安全模式，致使用戶根本無法進(jìn)入安全模式清除病毒；強(qiáng)行關(guān)閉帶有病毒字樣的網(wǎng)頁(yè)，只要在網(wǎng)頁(yè)中輸入“病毒”相關(guān)字樣，網(wǎng)頁(yè)遂被強(qiáng)行關(guān)閉，即使是一些安全論壇也無法登陸，用戶無法通過網(wǎng)絡(luò)尋求解決辦法；在磁盤根目錄下釋放autorun.inf利用系統(tǒng)自播放功能如果不加以清理，重裝系統(tǒng)以后也可能反復(fù)感染。

    4. OnlineGames系列盜號(hào)木馬

    這是一類盜號(hào)木馬系列的統(tǒng)稱，這類木馬的特點(diǎn)就是通過進(jìn)程注入盜取流行的各大網(wǎng)絡(luò)游戲（魔獸，夢(mèng)幻西游等）的帳號(hào)從而通過買賣裝備獲得利益。這類病毒本身一般不會(huì)對(duì)抗殺毒軟件，但經(jīng)常伴隨著AV終結(jié)者、機(jī)器狗等病毒出現(xiàn)。

    5.SWFExploit病毒
 
    SWFExploit生成器的產(chǎn)生：由于adobe flash player這個(gè)軟件廣泛存在于大多數(shù)電腦上，因此，當(dāng)這個(gè)軟件的漏洞一經(jīng)公布，利用它的病毒就迅速爆發(fā)。這些病毒利用adobe flash player中一段有BUG的代碼，精心構(gòu)造數(shù)值。它們修改了adobe flash player中關(guān)于安全驗(yàn)證的模塊的數(shù)據(jù)，讓自己的代碼可以繞過安全監(jiān)控，直接在電腦中運(yùn)行。這樣一來，只要用戶電腦中的adobe flash player沒有打上補(bǔ)丁，那么當(dāng)他們?cè)L問掛馬網(wǎng)頁(yè)時(shí)，病毒就會(huì)感染電腦，并下載其它的大量病毒程序到他們的電腦上運(yùn)行。（這些被下載的病毒，大多為木馬下載器，它們進(jìn)入用戶電腦后帶來的明顯危害，就是給用戶電腦里塞滿了大量的盜號(hào)木馬，可能會(huì)將電腦中有價(jià)值的帳號(hào)密碼都偷得一干二凈）

    6. 大水牛下載者

    大水牛病毒是一個(gè)盜號(hào)木馬下載者，該病毒學(xué)習(xí)機(jī)器狗，加入了驅(qū)動(dòng)恢復(fù)SSDT使得安全軟件的主動(dòng)防御失效；注入系統(tǒng)進(jìn)程通過hook系統(tǒng)底層API來隱藏自己的文件和注冊(cè)表鍵值使得部分安全輔助工具不能檢測(cè)到病毒的存在；通過進(jìn)程操作和窗口監(jiān)視對(duì)抗常見安全軟件；下載機(jī)器狗，盜號(hào)木馬，ddos惡意攻擊工具使得用戶電腦處于極度危險(xiǎn)的狀態(tài)。

    7. Auto木馬下載者
 
    此類病毒的主要傳播途徑是U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備。此病毒通常利用Autorun.inf的自動(dòng)播放功能來啟動(dòng)自身，運(yùn)行以后會(huì)破壞安全模式，隱藏文件的顯示等系統(tǒng)默認(rèn)設(shè)置來避免被刪除，該類病毒同樣具有下載功能，會(huì)下載大量的盜號(hào)木馬、流氓軟件到用戶電腦安裝，用戶系統(tǒng)穩(wěn)定性下降容易藍(lán)屏、網(wǎng)絡(luò)虛擬財(cái)產(chǎn)安全得不到保障。

    8.Rootkit系列病毒

    這類病毒經(jīng)常伴隨著OnlineGames系列病毒出現(xiàn)。這類病毒使用Rootkit技術(shù)來隱藏加載OnlineGames系列病毒。還會(huì)通過驅(qū)動(dòng)來恢復(fù)SSDT Inline HOOK， 使得殺毒軟件失去對(duì)系統(tǒng)的保護(hù)功能。通過rootkit技術(shù)盜號(hào)木馬能夠更有效地盜取帳號(hào)密碼。

    9. Downloader系列下載者
 
    這類病毒是典型的盜號(hào)木馬下載者。通過映像挾持，進(jìn)程操作，窗口監(jiān)控等方式對(duì)抗殺毒軟件、會(huì)下載安裝大量盜號(hào)木馬到用戶電腦。Downloader系列下載者在下載執(zhí)行完盜號(hào)木馬后，會(huì)自動(dòng)刪除，原程序不會(huì)駐留用戶計(jì)算機(jī)。給殺毒軟件獲取樣本分析帶來了麻煩。

    10.PCClient后門
 
    黑客通常利用端口掃描或者漏洞掃描工具獲取目標(biāo)程序然后植入到目標(biāo)系統(tǒng)，一旦安裝成功就可以像控制自己電腦一樣遠(yuǎn)程控制用戶計(jì)算機(jī)�？梢员I取用戶重要文件、監(jiān)控用戶攝像頭音頻、盜取網(wǎng)游帳號(hào)，用戶計(jì)算機(jī)淪為“肉雞”后，也會(huì)被黑客用來攻擊服務(wù)器等等。

    二、2008年上半年計(jì)算機(jī)病毒、木馬的特點(diǎn)分析

    1、下載器病毒首次成互聯(lián)網(wǎng)最大威脅

    下載器病毒是近年來新出現(xiàn)的一種病毒類型。該類型病毒與木馬不同，一般本身并不具備盜取用戶信息等行為，而是通過破壞殺毒軟件，然后再?gòu)闹付ǖ牡刂废螺d大量其他病毒、木馬進(jìn)入用戶電腦，進(jìn)而通過其他病毒木馬實(shí)現(xiàn)其非法目的。

    據(jù)金山毒霸全球反病毒監(jiān)測(cè)中心統(tǒng)計(jì)，2008年上半年發(fā)現(xiàn)的新病毒中下載器病毒增長(zhǎng)最為迅猛，已經(jīng)成為木馬的主要源頭之一。

    從上半年的10大病毒列表可以看出“機(jī)器狗”、“磁碟機(jī)”、“AV終結(jié)者”等病毒，其程序的主要功能是破壞電腦“保安”系統(tǒng)，利用各種手段破壞殺毒軟件，然后啟用另一個(gè)主要功能：瘋狂下載多種多樣的木馬，由攻擊發(fā)起者定制下載列表，可隨時(shí)更新所下載木馬的版本和數(shù)量。下載器和盜號(hào)木馬的區(qū)別在工作重點(diǎn)不同，前者是手段，后者去實(shí)現(xiàn)入侵的目的。下載器病毒可以說是病毒流程化入侵的第一步。一旦用戶電腦遭遇下載器病毒入侵，通常電腦內(nèi)將會(huì)發(fā)現(xiàn)幾種甚至幾十種木馬，而且這些木馬將幾乎涉及市面上所有流行的在線游戲的盜號(hào)木馬，危害非常嚴(yán)重。

    2、第三方軟件漏洞成病毒攻擊熱點(diǎn)

    第三方軟件，通俗講既非系統(tǒng)本身自帶的軟件（含操作系統(tǒng)本身和自帶的應(yīng)用程序），其他包含應(yīng)用類軟件均可稱為第三方軟件；例如：QQ、Adobe Reader等。

    第三方軟件漏洞是指一些第三方軟件，由于自身軟件設(shè)計(jì)的原因，在他們提供給IE的組件上，存在一些漏洞，而這些漏洞會(huì)被黑客以及惡意網(wǎng)站利用；在用戶瀏覽網(wǎng)頁(yè)過程中，通過漏洞下載木馬病毒入侵用戶系統(tǒng)；進(jìn)行遠(yuǎn)程控制、盜竊用戶的帳號(hào)和密碼等，從而使用戶遭受到損失。

    隨著微軟操作系統(tǒng)的安全性的日益加強(qiáng)以及用戶對(duì)系統(tǒng)漏洞警惕性的提升，病毒已經(jīng)很難再利用系統(tǒng)漏洞大施拳腳，而第三方流行軟件的漏洞越來越多地被病毒利用。以Adobe Flash Player漏洞為例，Adobe Flash Player 9 .0.115 在播放惡意構(gòu)造的swf時(shí)，會(huì)自動(dòng)下載一個(gè)可執(zhí)行文件并執(zhí)行，而swf文件可能會(huì)自動(dòng)下載一個(gè)病毒下載器并運(yùn)行，然后再由這個(gè)病毒下載器下載其他預(yù)先指定的木馬程序，危險(xiǎn)指數(shù)非常高。

    3、病毒與安全軟件之間的對(duì)抗日益加劇

    縱觀08年上半年的一些流行病毒，如機(jī)器狗、磁碟機(jī)、AV終結(jié)者等等，無一例外均為對(duì)抗型病毒。而且一些病毒制作者也曾揚(yáng)言“餓死殺毒軟件”。對(duì)抗殺毒軟件和破壞系統(tǒng)安全設(shè)置的病毒以前也有，但08年上半年表現(xiàn)得尤為突出。主要是由于大部分殺毒軟件加大了查殺病毒的力度，使得病毒為了生存而必須對(duì)抗殺毒軟件。這些病毒使用的方法也多種多樣，如修改系統(tǒng)時(shí)間、結(jié)束殺毒軟件進(jìn)程、破壞系統(tǒng)安全模式、禁用windows自動(dòng)升級(jí)等功能。

    08年上半年，病毒與殺毒軟件對(duì)抗特征主要表現(xiàn)為對(duì)抗頻率變快,周期變短,各個(gè)病毒的新版本更新非�？�,一兩天甚至幾個(gè)小時(shí)更新一次來對(duì)抗殺毒軟件。

    自07年以來，病毒流程化攻擊的特點(diǎn)越發(fā)明顯，而流程化攻擊的重要一步就是對(duì)抗安全軟件。病毒進(jìn)入用戶電腦后，首先終止安全軟件的運(yùn)行，使殺毒軟件無法正常運(yùn)行，進(jìn)而下載大量其他病毒到用戶電腦中，給用戶的個(gè)人網(wǎng)絡(luò)財(cái)產(chǎn)安全帶來嚴(yán)重威脅。

    4、“老”病毒泛濫  “明星”病毒減少 

    近年來，類似魔鬼波、熊貓燒香、灰鴿子等重大惡性病毒，憑借其傳播廣泛、破壞性強(qiáng)等特點(diǎn)，迅速成為病毒“明星”，為廣大電腦用戶所“熟知”。然而隨之而來的各大安全廠商的追殺，廣大用戶的喊打，很快這些“明星”病毒就會(huì)被打壓下去，病毒作者也會(huì)面臨身陷囹圄的危險(xiǎn)。因此一些重大的惡性病毒出現(xiàn)的機(jī)會(huì)在逐步減少。而與此相對(duì)應(yīng)的，單個(gè)病毒、木馬只入侵幾千臺(tái)電腦，甚至只入侵指定的某個(gè)IP地址段內(nèi)的電腦，雖然這類病毒的攻擊范圍很小，但針對(duì)性更強(qiáng)，而且由于同類病毒的總量龐大，因此破壞性也是不容忽視的。

    下載器病毒的泛濫導(dǎo)致了一些“老”病毒枯木逢春。2008年上半年，病毒下載器數(shù)量猛增，這些下載器一旦成功進(jìn)入用戶電腦，大量的木馬將蜂擁而至。在這些木馬中，有很多是早在幾年前就能被殺毒軟件清除掉的老木馬。但由于下載器在下載木馬之前已經(jīng)將電腦內(nèi)的安全軟件屏蔽掉，因此即使這些能夠被殺毒軟件查殺的老木馬也能夠很“安全”的完成盜取用戶信息的目的，這也從另一個(gè)方面促使黑色產(chǎn)業(yè)鏈的從業(yè)者加強(qiáng)了以破壞殺毒軟件為目的的程序開發(fā)。

    5、“新型”病毒黑色產(chǎn)業(yè)鏈逐步形成

    制造木馬、傳播木馬、盜竊賬戶信息、第三方平臺(tái)銷贓、洗錢，常規(guī)的病毒黑色產(chǎn)業(yè)鏈在2008年上半年開始正在發(fā)生新的變化。伴隨著病毒制作技術(shù)的進(jìn)步，病毒產(chǎn)業(yè)鏈也隨之發(fā)生變化，新型產(chǎn)業(yè)鏈在技術(shù)上也呈現(xiàn)出分工明細(xì)的趨勢(shì),例如專門對(duì)抗殺軟的病毒,專門下載其它病毒的downloader類別的病毒,專門的盜號(hào)功能等。

    制作網(wǎng)馬——入侵眾多中小企業(yè)網(wǎng)站，篡改網(wǎng)頁(yè)內(nèi)容，植入各種網(wǎng)馬——部分提供電影下載、軟件下載、聊天交友、圖片視頻等網(wǎng)站出售流量——有人會(huì)在各種社區(qū)、論壇、博客、貼吧發(fā)布訪問此類網(wǎng)站的廣告鏈接，以吸引更多的訪客去下載這些網(wǎng)馬——盜號(hào)木馬程序設(shè)計(jì)者，這些人專職開發(fā)針對(duì)各種網(wǎng)絡(luò)游戲的盜號(hào)木馬、網(wǎng)銀木馬——各種帶有遠(yuǎn)程控制功能的木馬設(shè)計(jì)者，此類程序可實(shí)現(xiàn)遠(yuǎn)程控制中毒的電腦，利用中毒電腦發(fā)起拒絕服務(wù)攻擊。

    隨著病毒產(chǎn)業(yè)鏈的日趨完善，病毒產(chǎn)業(yè)鏈的最末端——洗錢的平臺(tái)也在逐步多元化。眾多12590業(yè)務(wù)的非法經(jīng)營(yíng)者，可通過盜來的QQ號(hào)等信息大量發(fā)送垃圾消息，總有眾多不明真相的網(wǎng)民被騙；采用非正當(dāng)手段進(jìn)行網(wǎng)絡(luò)商業(yè)活動(dòng)，比如購(gòu)買DDoS服務(wù)攻擊競(jìng)爭(zhēng)對(duì)手；雇傭DDoS攻擊的工作室對(duì)目標(biāo)客戶發(fā)起攻擊，再上門推銷所謂的反DDoS產(chǎn)品。廣泛存在的網(wǎng)游虛擬財(cái)富交易市場(chǎng)，市場(chǎng)里的眾多買方本身也曾是黑色產(chǎn)業(yè)鏈的受害者。

    網(wǎng)馬，通常是故意利用瀏覽器漏洞或?yàn)g覽器插件漏洞入侵，通常是木馬下載器，一般是先中網(wǎng)馬，然后由這個(gè)木馬下載器下載更多的其它木馬。出售流量是指病毒制造者為快速傳播木馬，需要找流量大的網(wǎng)站進(jìn)行掛馬，如果病毒制作者自己做一個(gè)網(wǎng)站，想達(dá)到高流量，不是一件容易的事，最簡(jiǎn)單的方法是花錢買流量。隨著黑色產(chǎn)業(yè)鏈的深化，流量也在逐步集中到某些實(shí)力雄厚的人手中，這些人可以用比別人更高的價(jià)格收購(gòu)流量，進(jìn)而在利用病毒進(jìn)行牟利。

    6、社會(huì)工程學(xué)的攻擊手段成病毒入侵的重要途徑

    （1）利用熱點(diǎn)事件

    當(dāng)用戶上網(wǎng)搜索一些當(dāng)下比較流行的信息或電影的時(shí)候，如“艷照門”、“色戒”等，搜索到的網(wǎng)頁(yè)中很多都是帶毒的，這是不法分子利用人的心理而設(shè)的圈套。

    （2）利用用戶對(duì)好友的信任通過即時(shí)聊天工具傳播

    隨著聊天工具的安全防范措施，這類攻擊已經(jīng)不是主流，但還存在，有些病毒會(huì)通過QQ、msn等聊天工具自動(dòng)向好友發(fā)送帶毒信息或病毒文件。

    （3）釣魚網(wǎng)站

    釣魚網(wǎng)站也是一種常用的攻擊手段，如www.jx2dbt.com是一個(gè)外掛的官方網(wǎng)站，而www.jx2dbtwg.com是釣魚網(wǎng)站，但釣魚網(wǎng)站做得跟官方網(wǎng)站一模一樣，使得不少用戶瀏覽了釣魚網(wǎng)站或者下載了釣魚網(wǎng)站的文件，導(dǎo)致中毒。另外一種方式不需要帶毒，如銀行的釣魚網(wǎng)頁(yè)，用戶在登錄的過程中，他會(huì)先記錄下帳號(hào)和密碼，然后再進(jìn)行登錄到正確的網(wǎng)站，而此時(shí)你并不知道你的帳號(hào)密碼等信息已經(jīng)失竊。

    （4）捆綁軟件

    一些病毒會(huì)感染或者修改正常共享軟件的安裝包，使得用戶在網(wǎng)站下載安裝這些軟件時(shí)感染病毒。另外一些病毒則直接替換掉下載鏈接的文件。

    （5）高流量帶毒鏈接

    流量高的網(wǎng)站是可以用來賣錢掛病毒的，因此很多流量高的網(wǎng)頁(yè)會(huì)被用來掛病毒。這類網(wǎng)站以黃色網(wǎng)站居多。

    （6）江湖騙術(shù)

    一些網(wǎng)絡(luò)社區(qū)、聊天群里出現(xiàn)的騙子，往往會(huì)花言巧語誘使你接受打開對(duì)方發(fā)送的文件，以照片(其實(shí)是病毒文件)為典型。