灰鴿子病毒

1/9

中國(guó)大陸地區(qū)上半年度電腦病毒疫情和互聯(lián)網(wǎng)安全報(bào)告

本報(bào)告所有數(shù)據(jù)和資料全部來(lái)源于瑞星全球反病毒監(jiān)測(cè)網(wǎng)、全國(guó)病毒疫情監(jiān)測(cè)網(wǎng)、瑞星客戶

服務(wù)中心、瑞星新病毒快速反應(yīng)小組等部門(mén)。本報(bào)告所有觀點(diǎn)和結(jié)論均由瑞星公司獨(dú)立發(fā)布，

和其它政府機(jī)構(gòu)、合作伙伴無(wú)關(guān)，其中可能包含某些片面或者不完善的數(shù)據(jù)和結(jié)論，請(qǐng)各個(gè)

機(jī)構(gòu)、媒體、廠商謹(jǐn)慎使用，若由此引起糾紛和損失，瑞星不承擔(dān)任何責(zé)任。

上半年度，中國(guó)大陸地區(qū)電腦病毒疫情和互聯(lián)網(wǎng)安全狀況主要呈現(xiàn)六大新特點(diǎn)：一、新

病毒數(shù)量成爆炸式增長(zhǎng)；二、商業(yè)公司大肆“流氓推廣”、“流氓軟件”問(wèn)題仍嚴(yán)重；三、病毒

“偷、騙、搶”等行為愈演愈烈，勒索木馬開(kāi)始流行；四、病毒傳播手段多元化，網(wǎng)站、盤(pán)等

成為新渠道；五、應(yīng)用軟件漏洞受黑客親睞；六、概念型病毒呈現(xiàn)跨平臺(tái)趨勢(shì)。矚慫潤(rùn)厲釤瘞

睞櫪廡賴賃軔。

一、新病毒數(shù)量成爆炸式增長(zhǎng)

據(jù)瑞星全球反病毒監(jiān)測(cè)網(wǎng)統(tǒng)計(jì)數(shù)據(jù)顯示，新病毒的數(shù)量正在逐年遞增，并且增長(zhǎng)速度越來(lái)越

快。

年上半年，瑞星截獲新病毒個(gè)，年同期，新病毒數(shù)為個(gè)，而今年上半年，新截獲的病毒數(shù)量

飆升到了個(gè)，相當(dāng)于過(guò)去幾年截獲病毒數(shù)量的總和。在今年病毒較為泛濫的時(shí)期，一天內(nèi)截

獲的新病毒比年一個(gè)月截獲的病毒還要多。聞創(chuàng)溝燴鐺險(xiǎn)愛(ài)氌譴凈禍測(cè)。

盡管新截獲的病毒數(shù)量呈爆炸性增長(zhǎng)，但其種類數(shù)并沒(méi)有增加。老病毒的新變種占據(jù)了大部

分。有時(shí)，在一天內(nèi)就能夠截獲同一病毒的數(shù)十個(gè)不同變種。殘騖樓諍錈瀨濟(jì)溆塹籟婭騍。

對(duì)上半年截獲的新病毒分析統(tǒng)計(jì)，其組成部分與年基本類似，灰鴿子后門(mén)、盜號(hào)木馬、波特

類后門(mén)等病毒的變種仍然占到了絕大部分。造成變種病毒數(shù)量激增的原因主要有兩個(gè)：釅錒

極額閉鎮(zhèn)檜豬訣錐顧葒。

、“加殼”手段被黑客廣泛利用

所謂加殼，是一種通過(guò)一系列數(shù)學(xué)運(yùn)算，將可執(zhí)行程序文件或動(dòng)態(tài)鏈接庫(kù)文件的編碼進(jìn)

行改變（目前還有一些加殼軟件可以壓縮、加密驅(qū)動(dòng)程序），以達(dá)到縮小文件體積或加密程

序編碼的目的。“加殼”就像給病毒文件穿了“馬甲”，對(duì)于識(shí)別能力不強(qiáng)的殺毒軟件就會(huì)被這

件“馬甲”蒙蔽，而放過(guò)病毒。彈貿(mào)攝爾霽斃攬磚鹵廡詒爾。

當(dāng)被加殼的程序運(yùn)行時(shí)，外殼程序先被執(zhí)行，然后由這個(gè)外殼程序負(fù)責(zé)將用戶原有的程

序在內(nèi)存中解壓縮，并把控制權(quán)交還給脫殼后的真正程序。一切操作自動(dòng)完成，用戶不知道

也無(wú)需知道殼程序是如何運(yùn)行的。一般情況下，加殼程序和未加殼程序的運(yùn)行結(jié)果是一樣的。

謀蕎摶篋飆鐸懟類蔣薔點(diǎn)鉍。

2/9

眾所周知，目前殺毒軟件主要依靠特征碼技術(shù)查殺病毒。由于加殼軟件會(huì)對(duì)源文件進(jìn)行壓縮、

變形，使加密前后的特征碼完全不同。對(duì)于脫殼能力不強(qiáng)的殺毒軟件，對(duì)付此種病毒就需要

添加多條不同的特征記錄。而如果黑客再采用一種新的殼進(jìn)行加密變形，則對(duì)于此類殺毒軟

件來(lái)說(shuō)又是一個(gè)新的病毒，從而無(wú)法查殺。廈礴懇蹣駢時(shí)盡繼價(jià)騷巹癩。

從上半年瑞星截獲的病毒樣本統(tǒng)計(jì)，約有％以上的病毒文件進(jìn)行過(guò)“加殼”處理。而國(guó)內(nèi)較為

流行的“灰鴿子”木馬，加殼率幾乎達(dá)到％。有些病毒為了躲避殺毒軟件的查殺，甚至加了三、

四層殼。煢楨廣鰳鯡選塊網(wǎng)羈淚鍍齊。

、“免殺”技術(shù)開(kāi)始被采用

所謂“免殺”，是指通過(guò)特殊技術(shù)處理，修改病毒文件，使已知病毒逃過(guò)殺毒軟件的查殺。

目前，殺毒軟件大多采用特征碼技術(shù)進(jìn)行查毒，當(dāng)發(fā)現(xiàn)被掃描的文件中包含有殺毒軟件病毒

庫(kù)中的特征時(shí)就會(huì)報(bào)告相應(yīng)的病毒名稱。目前，許多黑客和病毒制造者通過(guò)查找病毒文件中

被殺毒軟件掃描的特征部分，加以修改，使其特征值與殺毒軟件的病毒庫(kù)不匹配，從而躲過(guò)

殺毒軟件的查殺。鵝婭盡損鵪慘歷蘢鴛賴縈詰。

以上兩點(diǎn)是年上半年病毒、木馬所廣泛采用的技術(shù)手段。“魔高一尺，道高一丈”，各個(gè)反病

毒廠商也在針對(duì)病毒的新特點(diǎn)進(jìn)行著不懈的努力。籟叢媽羥為贍僨蟶練淨(jìng)櫧撻。

增強(qiáng)殺毒軟件引擎的“脫殼”能力

由于目前大多數(shù)病毒都會(huì)采用“加殼”的手段進(jìn)行自我保護(hù)，因此需要?dú)⒍拒浖哂小懊摎ぁ?/p>

能力。脫殼引擎通過(guò)一些算法將“加殼加密”的病毒還原成原始狀態(tài)，再對(duì)其原始狀態(tài)進(jìn)行查

毒。預(yù)頌圣鉉儐歲齦訝驊糴買(mǎi)闥。

瑞星一直在“脫殼”技術(shù)上進(jìn)行著不懈努力，經(jīng)過(guò)長(zhǎng)時(shí)間的技術(shù)積累，目前瑞星殺毒軟件

新的殺毒引擎已經(jīng)進(jìn)入到公測(cè)階段，該引擎同時(shí)具備硬脫殼和虛擬脫殼的能力，支持目前常

見(jiàn)的所有流行的殼程序，并且能夠?qū)恿硕鄬託さ牟《具M(jìn)行查殺。滲釤嗆儼勻諤鱉調(diào)硯錦鋇絨。

和“變種共性特征比對(duì)”技術(shù)將被大量采用

技術(shù)是廣譜查毒技術(shù)的一種，其主要是針對(duì)變種病毒的查殺。有時(shí)用殺毒軟件掃描病毒時(shí)會(huì)

報(bào)出以“”作為結(jié)尾的名稱，如“”，就是使用了這一技術(shù)。病毒分析工程師通過(guò)對(duì)大量病毒樣

本特征進(jìn)行分析，提取出它們之間相同的特征值，從而對(duì)一個(gè)群族的病毒進(jìn)行查殺。鐃誅臥

3/9

瀉噦圣騁貺頂廡縫勵(lì)。

“變種共性特征比對(duì)”技術(shù)是瑞星獨(dú)家研發(fā)的一種新的廣譜查毒技術(shù)，它與技術(shù)存在相似之

處，也是對(duì)大量病毒樣本進(jìn)行特征分析，提取相同的特征。但是“變種共性特征比對(duì)”具有更

強(qiáng)的抗“免殺”能力和智能判斷能力。往往，黑客用技術(shù)手段能夠繞開(kāi)技術(shù)的查殺，卻不能逃

脫“變種共性特征比對(duì)”技術(shù)的檢測(cè)。同時(shí)“變種共性特征比對(duì)”還可以報(bào)告出病毒變種與該病

毒家族的相似程度，查毒結(jié)果更為精確。目前，“變種共性特征比對(duì)”技術(shù)已經(jīng)全面應(yīng)用于“瑞

星聽(tīng)診器版”及以上版本當(dāng)中，對(duì)“灰鴿子（）”等木馬的變種識(shí)別率能夠達(dá)到九成以上。擁

締鳳襪備訊顎輪爛薔報(bào)贏。

、“虛擬機(jī)技術(shù)”將在成為檢測(cè)未知病毒的主要手段

無(wú)論病毒文件如何修改，其病毒的破壞行為都是不變的。“虛擬機(jī)技術(shù)”是指用軟件模擬出一

個(gè)虛擬機(jī)的計(jì)算機(jī)（包含虛擬的、內(nèi)存、硬盤(pán)等），讓被檢測(cè)的文件在虛擬機(jī)中執(zhí)行，對(duì)病

毒在虛擬機(jī)中的行為進(jìn)行判斷，一旦發(fā)現(xiàn)符合病毒的特征就給予告警。贓熱俁閫歲匱閶鄴鎵騷鯛

漢。

目前，真正采用虛擬機(jī)技術(shù)進(jìn)行病毒查殺的軟件全世界只有為數(shù)不多的幾家。瑞星早在

幾年前就已經(jīng)開(kāi)始對(duì)虛擬機(jī)技術(shù)的研究，并已將該技術(shù)運(yùn)用到產(chǎn)品當(dāng)中。而具有虛擬程度更

高，更加智能化的虛擬機(jī)系統(tǒng)也在研發(fā)當(dāng)中。壇摶鄉(xiāng)囂懺蔞鍥鈴氈淚躋馱。

二、商業(yè)公司大肆“流氓推廣”“流氓軟件”問(wèn)題仍嚴(yán)重

今年月初，許多的用戶都遇到被陌生人惡意添加為好友的情況，被添加之后對(duì)方并不與

自己聊天，而是發(fā)送一段網(wǎng)址或是廣告，根據(jù)有關(guān)媒體調(diào)查，以上的用戶都被一家名為“中

國(guó)緣”的網(wǎng)站騷擾過(guò)，該網(wǎng)站面對(duì)媒體的不斷暴光依然我行我素，繼續(xù)采用添加好友發(fā)廣告

的方式推廣。蠟變黲癟報(bào)倀鉉錨鈰贅籜葦。

4/9

微軟的開(kāi)放應(yīng)用程序接口（）為這些公司進(jìn)行“流氓推廣”提供了方便。它們通過(guò)一些渠

道獲取到大量的用戶賬號(hào)名，并架設(shè)“機(jī)器人”服務(wù)器。由“機(jī)器人”自動(dòng)把這些用戶加為好友，

發(fā)送廣告信息。買(mǎi)鯛鴯譖曇膚遙閆擷凄屆嬌。

由于此類推廣方式是以“機(jī)器人”服務(wù)器的方式實(shí)現(xiàn)，不同于以往自動(dòng)發(fā)廣告消息的“、

尾巴類病毒”，因此無(wú)法使用安全產(chǎn)品進(jìn)行防護(hù)。為此，瑞星提出三點(diǎn)防范建議：綾鏑鯛駕櫬

鶘蹤韋轔糴飆鈧。

.妥善保管自己的個(gè)人信息，盡量避免公開(kāi)自己的電子郵件地址和賬號(hào)。

.當(dāng)被陌生人要求添加為好友時(shí)，需謹(jǐn)慎接受。必要時(shí)可先通過(guò)其它方式確認(rèn)。

.通過(guò)進(jìn)行交談時(shí)，不要輕易點(diǎn)擊對(duì)方發(fā)送的鏈接，或接受傳送的文件，須先向?qū)Ψ酱_認(rèn)。

同時(shí)，瑞星呼吁有關(guān)部門(mén)能夠及時(shí)制定相應(yīng)的法律法規(guī)，對(duì)此種騷擾用戶強(qiáng)制推廣的方式加

以制止。

鑒于該種推廣方式可以在短期內(nèi)獲得成效，并且成本很低，未來(lái)也很有可能會(huì)有一些大型的

企業(yè)、公司編寫(xiě)病毒、流氓軟件等進(jìn)行廣告推廣。驅(qū)躓髏彥浹綏譎飴憂錦諑瓊。

此外，年上半年“流氓軟件”問(wèn)題仍然嚴(yán)重。據(jù)瑞星病毒疫情監(jiān)測(cè)網(wǎng)統(tǒng)計(jì)結(jié)果顯示，從月

到月感染機(jī)器臺(tái)數(shù)最多的并不是病毒，而是流氓軟件。上半年出現(xiàn)了幾個(gè)比較惡劣的流氓軟

件，均是由正規(guī)廠商制作。這些軟件運(yùn)行后會(huì)定期或隨機(jī)地釋放（或從互聯(lián)網(wǎng)下載）廣告程

序、其它的下載器。這些廣告程序或下載器帶有明顯的木馬特征，流氓軟件和病毒之間的界

限已經(jīng)越來(lái)越模糊。貓蠆驢繪燈鮒誅髏貺廡獻(xiàn)鵬。

三、病毒“偷、騙、搶”等行為愈演愈烈，勒索木馬開(kāi)始流行

目前，黑客已經(jīng)變得越來(lái)越貪婪。病毒編寫(xiě)者不再單純炫耀技術(shù)，獲取經(jīng)濟(jì)利益幾乎成

為他們編寫(xiě)病毒的唯一目的，“偷”、“搶”、“騙”已經(jīng)成為目前計(jì)算機(jī)病毒的主要特征。鍬籟

饗逕瑣筆襖鷗婭薔嗚訝。

“偷”

從年開(kāi)始，盜號(hào)木馬已經(jīng)成為主流。進(jìn)入年后，這一趨勢(shì)更加明顯。根據(jù)瑞星全球反病毒監(jiān)

測(cè)網(wǎng)統(tǒng)計(jì)顯示，上半年具有盜取用戶密碼等隱私信息特征的病毒共個(gè)，占到總病毒數(shù)量的％。

構(gòu)氽頑黌碩飩薺齦話騖門(mén)戲。

這些盜號(hào)木馬在后臺(tái)運(yùn)行，沒(méi)有任何提示信息，一般用戶根本察覺(jué)不到機(jī)器已經(jīng)中毒。

5/9

它們偷偷記錄用戶的輸入信息，比如密碼、網(wǎng)絡(luò)游戲賬號(hào)、網(wǎng)上銀行卡賬號(hào)等，并將這些信

息直接發(fā)送到黑客手中，給用戶帶來(lái)直接經(jīng)濟(jì)損失。輒嶧陽(yáng)檉籪癤網(wǎng)儂號(hào)澩蠐鑭。

、“搶”

上半年出現(xiàn)了幾個(gè)新形式的木馬病毒值得我們關(guān)注。它們與躲在后臺(tái)悄悄“盜取”用戶隱私信

息的木馬不同，這些新的木馬病毒會(huì)赤裸裸的對(duì)用戶進(jìn)行直接威脅勒索。如果把傳統(tǒng)的盜號(hào)

木馬比喻成“小偷”，則這種新形式的木馬就是“強(qiáng)盜”。此類軟件也被稱之為“勒索軟件（）”

或“勒索病毒”。堯側(cè)閆繭絳闕絢勵(lì)蜆贅瀝紕。

通常“勒索病毒”會(huì)將用戶的重要文件加密或者隱藏，并明確要求用戶支付費(fèi)用來(lái)?yè)Q回重

要的文件。

年月，瑞星截獲的“代理木馬變種（）”病毒就是一個(gè)典型的勒索病毒，它要求用戶支付

美元來(lái)重新獲取自己加密文件的訪問(wèn)權(quán)。其后截獲的“然森（）”病毒會(huì)要求用戶通過(guò)西聯(lián)匯

款（）向黑客支付美元，否則將每隔分鐘刪除一個(gè)文件，直至收到付款。而一種在俄羅斯

地區(qū)傳播較廣的“編碼（）”病毒更是采用了位及位高強(qiáng)度的加密運(yùn)算法則對(duì)用戶的重要文

件進(jìn)行加密，并進(jìn)行勒索。遭受該病毒攻擊的用戶必須在專業(yè)的信息安全廠商的幫助下才能

找回“丟失”的文件。識(shí)饒鎂錕縊灩筧嚌儼淒儂減。

月日，我國(guó)出現(xiàn)了首個(gè)大規(guī)模傳播的勒索病毒－進(jìn)程殺手變種（）。該木馬病毒運(yùn)行后會(huì)

將用戶的文檔、表格文件以及和壓縮包等重要的文件隱藏。同時(shí)會(huì)在桌面上建立一個(gè)名為“拯

救硬盤(pán)”的文件，內(nèi)容大致為：“你的硬盤(pán)資料丟失了，是因?yàn)槭謾C(jī)的強(qiáng)電磁流影響了硬盤(pán)的

正常讀寫(xiě)，你必須使用磁盤(pán)修復(fù)工具拯救找回丟失的資料文件，但是，你正在使用的不是正

版軟件，是盜版，你必須拯救修復(fù)丟失的資料，并且盡快購(gòu)買(mǎi)正版的軟件…”。該病毒還會(huì)

在開(kāi)始菜單的“附件”組中生成名為“修復(fù)硬盤(pán)資料”的快捷方式。用戶運(yùn)行“修復(fù)硬盤(pán)資料”程

序（惡意程序）后，會(huì)提示用戶必須向一個(gè)帳號(hào)匯款才能找回硬盤(pán)數(shù)據(jù)。凍鈹鋨勞臘鍇癇婦脛糴

鈹賄。

、“騙”

“網(wǎng)絡(luò)釣魚(yú)”式欺騙手段越來(lái)越多地被黑客所利用。年已經(jīng)出現(xiàn)了黑客利用欺騙性的電子郵件

和偽造的站點(diǎn)來(lái)進(jìn)行詐騙活動(dòng)，誘騙用戶將自己的個(gè)人信息和財(cái)務(wù)數(shù)據(jù)，包括如真實(shí)信息、

聯(lián)系方式、銀行卡帳戶等泄露給黑客。恥諤銪滅縈歡煬鞏鶩錦聰櫻。

在年上半年，欺騙手段進(jìn)一步升級(jí)。黑客不光利用電子郵件和網(wǎng)站進(jìn)行詐騙，具有“網(wǎng)

6/9

絡(luò)釣魚(yú)”性質(zhì)的病毒也開(kāi)始出現(xiàn)。鯊腎鑰詘褳鉀溈懼統(tǒng)庫(kù)搖飭。

月日，瑞星全球反病毒監(jiān)測(cè)網(wǎng)截獲兩個(gè)竊取用戶密碼的木馬病毒，并分別命名為“竊密

者變種()”病毒。這兩個(gè)病毒專門(mén)針對(duì)北京用戶編寫(xiě)，分別冒充北京網(wǎng)通和北京電信的密碼

自服務(wù)網(wǎng)頁(yè)。當(dāng)用戶上網(wǎng)時(shí)，該病毒會(huì)自動(dòng)彈出假頁(yè)面，誘騙用戶填寫(xiě)自己的密碼。碩癘鄴

頏謅攆檸攜驤蘞鷥膠。

月日，一個(gè)假冒工行網(wǎng)站個(gè)人銀行系統(tǒng)的木馬病毒被截獲。當(dāng)用戶登陸工行網(wǎng)上銀行個(gè)

人銀行時(shí)，會(huì)自動(dòng)彈出窗口提示“為了給您提供更加優(yōu)良的電子銀行服務(wù)，月日我行對(duì)電子

銀行系統(tǒng)進(jìn)行了升級(jí)。請(qǐng)您務(wù)必修改以上信息”誘騙用戶輸入自己的銀行卡密碼。隨后這些

銀行卡賬號(hào)和密碼將被自動(dòng)發(fā)送給黑客。閿擻輳嬪諫遷擇楨秘騖輛塤。

四、病毒傳播手段多元化，網(wǎng)站、盤(pán)等成為新渠道

年上半年統(tǒng)計(jì)的數(shù)據(jù)顯示，雖然仍有一些老牌的郵件蠕蟲(chóng)存在，但通過(guò)電子郵件進(jìn)行傳播的

病毒數(shù)量已經(jīng)呈現(xiàn)下降趨勢(shì)，黑客們?cè)絹?lái)越多的通過(guò)網(wǎng)站對(duì)用戶進(jìn)行攻擊。此外，利用多種

傳播手段進(jìn)行傳播以及通過(guò)盤(pán)進(jìn)行傳播已經(jīng)成為病毒發(fā)展的新趨勢(shì)。氬嚕躑竄貿(mào)懇彈瀘頷澩紛釓。

隨著互聯(lián)網(wǎng)的不斷普及，建立網(wǎng)站、論壇已經(jīng)變得非常流行，而這些網(wǎng)站由于沒(méi)有很好

的安全保護(hù)措施，常常是黑客們用來(lái)傳播病毒的最有利的工具。黑客利用這些網(wǎng)站的漏洞，

“黑”掉這些網(wǎng)站，并在這些網(wǎng)站上放置木馬病毒（即通常說(shuō)的“掛馬”）。用戶登陸這些含有

木馬病毒的網(wǎng)站就會(huì)被病毒感染。釷鵒資贏車(chē)贖孫滅獅贅慶獷。

被黑客“光顧”的網(wǎng)站有論壇、博客、在線商城、在線書(shū)店、報(bào)社站點(diǎn)甚至是一些大型的

門(mén)戶網(wǎng)站。僅年、兩月，瑞星全球反病毒監(jiān)測(cè)網(wǎng)檢測(cè)到被黑客攻擊“掛馬”的網(wǎng)站就多達(dá)十個(gè)。

慫闡譜鯪逕導(dǎo)嘯畫(huà)長(zhǎng)涼馴鴇。

今年月日，一個(gè)名為“威金蠕蟲(chóng)變種()”的蠕蟲(chóng)病毒被瑞星病毒疫情監(jiān)測(cè)網(wǎng)截獲。它是采

用多種手段的進(jìn)行傳播的典型病毒之一，同時(shí)具有文件型病毒、蠕蟲(chóng)病毒、病毒下載器等類

病毒的特點(diǎn)，進(jìn)入用戶的電腦之后，它會(huì)從網(wǎng)上瘋狂下載多個(gè)木馬、尾巴等安裝在中毒電腦

中，竊取用戶的網(wǎng)絡(luò)游戲密碼，嚴(yán)重時(shí)造成系統(tǒng)完全崩潰。諺辭調(diào)擔(dān)鈧諂動(dòng)禪瀉類謹(jǐn)覡。

正是由于該病毒的這種特點(diǎn)，它比靠單一手段傳播的病毒的傳播速度要快得多，短短一