本周关注病毒：“下载器蠕虫变种OB（Worm.Win32.DownLoader.ob）”警惕程度 ★★★

　　病毒运行后，会破坏软件还原系统，使得在系统还原后，病毒仍然存在。病毒会破坏很多安全软件，以躲避对其查杀。在各个盘符生成AutoRun.inf和SafeSys.exe，以达到双击盘符运行病毒的目的。最后会从黑客指定网站下载大量木马病毒。电脑容易反复感染，彻底清除难度大。

专家建议

　　1、安装全功能安全软件，有效阻挡通过网页挂马方式传播的病毒；

　　2、安装上网安全助手进行漏洞修复，避免感染此类病毒侵害；

　　3、定时设置系统还原点和备份重要文件，加强网银、网游、QQ等重要软件的保护。

　　Mellisa是第一个电子邮件病毒，于1999年3月献身互联网，整个过程有点像黑魔术。打开某位朋友发来的电子邮件中的附件，瞬间所有联系人都收到了同样的电子邮件。Melissa通常需要Microsoft Office、 Word和Outlook，使用VBA进行编程以及MAPI进行传输。当然这种模式有需要修改的地方，不过这种邮件病毒带来一种新的恶意攻击方式，改变了整个世界的恶意软件，并建立了感染和迫害整个世界的大规模僵尸网络。

　　邮件蠕虫病毒的作者们很快开始从MAPI方式转移到SMTP传输方式，毋容置疑微软系统的漏洞让Milissa有机可乘，当然即使在今天，也很难在短时间内对这种变化迅速的攻击方式修复所有系统漏洞。并且，即使在今天，还有很多ISP（互联网服务提供商）刚开始采取措施阻止SMTP邮件攻击。Melissa无疑激发了如今正威胁世界各地PC系统的恶意软件的开发者，虽然它本身没有造成多么严重的破坏，不过它为恶意软件开发者指明了道路。

　　对于Melissa出现之前的恶意软件，我们可以看看1999年3月的WildList，现在来看10年前的WildList有点不太合时宜，并且每天都会出现很多恶意软件类型，这种的威胁列表已经没什么实用性了。不过我们可以明显感觉到这些攻击采用着不同的技术，WildList中列出的主要是开机型病毒和宏病毒，当时这些病毒都是很严重的威胁，但是与今天的恶意软件，简直是小巫见大巫了。当时也有一些真正的病毒（如 CIH/Chernobyl），这些病毒能够造成巨大威胁，也正因为这种破坏性而限制了这种病毒的发展。

　　Melissa之前的恶意软件的主要缺陷在于缺乏正确的手段在网络（尤其是互联网）进行传播，开机型病毒主要通过软盘传播。我曾看到过大型测试项目受到Stoned virus病毒的影响而被严重减缓速度，该病毒是最著名的开机型病毒。宏病毒（如 Wazzu）主要通过影响同一系统上的其他office文件来传播，通常是通过感染 AutoOpen宏或者其他类似office设备。文件病毒（如 Chernobyl）会感染其在系统中发现的其他执行文件。

　　上面讨论的恶意软件类型依然存在，不过由于受到各种因素的影响已经没那么普遍：一个是因为被防病毒软件检测，office本身的一些设计变化使宏病毒很难成功写入，当然软盘感染病毒就更少见了。不过真正的原因还是因为这些病毒被新的、更加强大的具有灵活传播方式恶意软件所取代了。

　　Melissa还不足以促使微软公司改变他们的程序模式，直到一年后出现的IloveYou蠕虫病毒，微软公司才发布Outlook电子邮件安全更新，该更新阻止了邮件蠕虫的基本Outlook VBA模式。而比尔盖茨的微软安全计划直至2002年才开始部署。

　　邮件蠕虫病毒将SMTP（这是互联网中最重要的协议之一）陷入不被信任的困境中，很多专业机构和私营部门都努力尝试修复它，但是这是很困难的，因为存在某种设计错误。

　　上海计算机病毒防范服务中心提醒：一种会自动下载黑客程序、流氓软件等各种恶意文件的危险病毒“锁魔变种 bb”近期在网上活动频繁，一旦被感染将直接威胁用户信息安全，专家提醒计算机用户需加以防范。

　　据介绍，这种病毒运行时，会在被感染计算机系统的后台连接黑客指定的远程服务器站点，下载大量的恶意程序并自动调用运行。而下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，对用户的虚拟财产和私人信息造成很大威胁。

　　专家建议，上网用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断这类病毒传播的途径。

　　引发大面积网络安全事件的“死牛”病毒，近日改变传播策略，频繁对政府网站下手。反病毒专家提醒，关注两会的互联网用户访问政府网站时提高警惕。

　　金山反病毒专家李铁军介绍，只要一个网站的访问量足够大，它就容易被病毒团伙盯上。“死牛”背后的挂马集团近期多次偷袭政府网站，原因在于两会召开，各地政府网站的访问量增大。用户一旦浏览这些被恶意挂马的网页，轻则网速变慢，严重的可导致重要数据丢失，落入黑客构建的钓鱼网站骗局中。

　　据了解，“死牛”下载器在大挂马集团的推广下，“日新增安装量”过10万。保守估计，有超过30万台次以上的电脑被感染。而且传播速度异常迅速，几乎是一夜之间，就取代“猫癣”成为今年的第二个流行病毒。 “死牛”采用两个驱动对抗杀毒软件，然后疯狂修改注册表，下载各类热门游戏的盗号木马，修改IE首页为酷 2009网址导航，并弹出QQ中奖的诈骗广告。

　　据李铁军介绍，除了政府网站，学校网站也是近期被攻击次数较多的站点，反病毒专家提醒广大师生打齐系统安全补丁，防止病毒感染。

　　卡巴斯基实验室今日发布《2008恶意软件发展情况》报告，称盈利性恶意软件和其支持的服务出现规模增长，中国成为几大恶意程序出产国中的绝对领先者。

　　卡巴斯基报告指出，2007年专家们强调“非营利性”的恶意软件正在逐渐消失。2008年，真正意义的“独家”恶意程序出现。今年检测出的绝大多数木马和病毒都是被开发出来以后用于出售给他人的。

　　于此同时，与此销售配套的相关“支持”服务也以一个相当惊人的规模出现，其中包括帮助避开反病毒产品的承诺。网络犯罪开始表现出明确的分工，从创建、传播和使用恶意程序，每个阶段都由不同的人参与并完成。

　　报告显示，从全球范围来看，中国可谓是几大恶意程序出产国中的绝对领先者。中国黑客不断的创造各种各样的木马程序变种，而且还开始将其他国家创建的恶意程序本地化。中国黑客是2008年4月到10月间发生的两次主要攻击的幕后黑手，攻击的目标都为网站。第一起攻击发生在2008年4月到6月间，全球超过200万个网站遭到黑客攻击。

　　另一方面， 社交网站不仅仅被利用来传播新的恶意程序，还被用作数据的采集和各种各样的新型诈骗，其中包括钓鱼行为。最典型事件便是Koobface的流行：这种蠕虫的首个变种于2008年7月被卡巴斯基实验室检测到，12月，这种蠕虫不仅可以攻击Facebook和MySpace的用户，还能够攻击另一个受欢迎的社交网站Bebo的用户。

　　2008年窃取在线游戏密码的恶意程序数量稳步上升： 在这一年确认的新游戏木马数量达到100397个，是 2007年的3倍。尽管绝大多数的在线游戏禁止出售虚拟资产以换取真实货币，但是买家的数量却在不断增加。

　　卡巴斯基预计，当前存在的威胁在2009年是不会消失的，对在线游戏和社交网络的攻击也将继续；恶意软件技术将变得越来越复杂，僵尸网络数量还会增加。同时，网络犯罪作为一种商业交易和服务，也将得到进一步发展。