大陆地区上半年病毒疫情和安全报告

　　本报告所有数据和资料全部来源于瑞星全球反病毒监测网、全国病毒疫情监测网、瑞星客户服务中心、瑞星新病毒快速反应小组等部门。本报告所有观点和结论均由瑞星公司独立发布，和其它政府机构、合作伙伴无关，其中可能包含某些片面或者不完善的数据和结论，请各个机构、媒体、厂商谨慎使用，若由此引起纠纷和损失，瑞星不承担任何责任。

　　2006上半年度，中国大陆地区电脑病毒疫情和互联网安全状况主要呈现六大新特点:一、新病毒数量成爆炸式增长;二、商业公司大肆“流氓推广”、“流氓软件”问题仍严重;三、病毒“偷、骗、抢”等行为愈演愈烈，勒索木马开始流行;四、病毒传播手段多元化，网站、U盘等成为新渠道;五、应用软件漏洞受黑客亲睐;六、概念型病毒呈现跨平台趋势。

　　一、新病毒数量成爆炸式增长

　　据瑞星全球反病毒监测网统计数据显示，新病毒的数量正在逐年递增，并且增长速度越来越快。

　　2004年上半年，瑞星截获新病毒11835个，2005年同期，新病毒数为26927个，而今年上半年，新截获的病毒数量飙升到了119402个，相当于过去几年截获病毒数量的总和。在今年病毒较为泛滥的时期，一天内截获的新病毒比2005年一个月截获的病毒还要多。

　　尽管新截获的病毒数量呈爆炸性增长，但其种类数并没有增加。老病毒的新变种占据了大部分。有时，在一天内就能够截获同一病毒的数十个不同变种。

　　对06上半年截获的新病毒分析统计，其组成部分与2005年基本类似，灰鸽子后门、盗号木马、波特类后门等病毒的变种仍然占到了绝大部分。造成变种病毒数量激增的原因主要有两个:

　　1、“加壳”手段被黑客广泛利用

　　所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序)，以达到缩小文件体积或加密程序编码的目的。“加壳”就像给病毒文件穿了“马甲”，对于识别能力不强的杀毒软件就会被这件“马甲”蒙蔽，而放过病毒。

　　当被加壳的程序运行时，外壳程序先被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压缩，并把控制权交还给脱壳后的真正程序。一切操作自动完成，用户不知道也无需知道壳程序是如何运行的。一般情况下，加壳程序和未加壳程序的运行结果是一样的。

　　众所周知，目前杀毒软件主要依靠特征码技术查杀病毒。由于加壳软件会对源文件进行压缩、变形，使加密前后的特征码完全不同。对于脱壳能力不强的杀毒软件，对付此种病毒就需要添加多条不同的特征记录。而如果黑客再采用一种新的壳进行加密变形，则对于此类杀毒软件来说又是一个新的病毒，从而无法查杀。

　　从上半年瑞星截获的病毒样本统计，约有90%以上的病毒文件进行过“加壳”处理。而国内较为流行的“灰鸽子”木马，加壳率几乎达到100%。有些病毒为了躲避杀毒软件的查杀，甚至加了三、四层壳。

　　2、“免杀”技术开始被采用

　　所谓“免杀”，是指通过特殊技术处理，修改病毒文件，使已知病毒逃过杀毒软件的查杀。

　　目前，杀毒软件大多采用特征码技术进行查毒，当发现被扫描的文件中包含有杀毒软件病毒库中的特征时就会报告相应的病毒名称。目前，许多黑客和病毒制造者通过查找病毒文件中被杀毒软件扫描的特征部分，加以修改，使其特征值与杀毒软件的病毒库不匹配，从而躲过杀毒软件的查杀。

　　以上两点是2006年上半年病毒、木马所广泛采用的技术手段。“魔高一尺，道高一丈”，各个反病毒厂商也在针对病毒的新特点进行着不懈的努力。