中国科学院邮件系统电子期刊第八期

　　近日，国内知名信息安全厂商瑞星公司发布《2004年度中国大陆地区计算机病毒、黑客疫情报告及发展趋势分析》( 以下简称《瑞星报告》)，该报告显示，2004年中国大陆地区计算机被病毒感染数量呈上升趋势，“网络天空”病毒排在年度十大恶性病毒之首。

　　《瑞星报告》指出，本年度计算机病毒和黑客攻击呈现出四大发展趋势，以骗取电脑用户网络虚拟财产、信用卡、证券资料等赤裸裸的利益诉求为目的病毒和黑客攻击将愈演愈烈。瑞星反病毒专家将这些趋势归纳为：一、造病毒越来越容易，病毒变种越来越多；二、漏洞病毒出现的越来越快；三、病毒和黑客越来越贪婪；四、病毒和黑客越来越聪明，骗术越来越高。

　　根据瑞星全球病毒监测网(国内部分)、瑞星客户服务中心、全国反病毒服务网以及“在线查毒和杀毒”等多个部门联合监测统计，2004年对用户造成破坏最大的十大病毒排行分别如下：

1	网络天空	Worm.Netsky
2	爱情后门	Worm.Lovgate
3	SCO 炸弹	Worm.Novarg
4	小邮差	Worm.Mimail
5	垃圾桶	Worm.Lentin.m
6	恶鹰	Worm.BBeagle
7	求职信	Worm.Klez
8	高波	Worm.Agobot.3
9	震荡波	Worm.Sasser
10	瑞波	Backdoor.Rbot

　　从中可以看出，排在前面的9种病毒均为蠕虫病毒，也就是说在2004年，对用户造成影响的以蠕虫病毒居多。

瑞星发布2004年度报告

　　透过《瑞星报告》我们可以看到，病毒和黑客的破坏在2004年仍然呈上升趋势，特别是 ADSL等宽带的普及和越来越多的企事业单位搭建了局域网，使病毒传播速度越来越快。这些上网条件较好的用户，大部分都受到过病毒、木马不同程度的侵扰。面对越来越严峻的安全形势，如何有效地对它们进行防范，将损失降到最低都是我们需要认真严肃考虑的问题。

病毒和黑客威胁的四大发展趋势

一、变种病毒数量翻番，防不胜防

　　由于很多病毒源代码被病毒作者公开并提供下载，甚至有些代码还包含完整的说明文档、相应工具和示例，这样其他人基本不需要特别的技能，仅仅通过修改配置文件和部分源代码就可以编译生成一个新的病毒变种程序。

　　据瑞星全球病毒监测网(国内部分)的数据显示，今年我国大陆地区网络病毒变种数量相对去年大幅度增加。截止到2004年12月6日，瑞星公司共截获SCO炸弹(Worm.Novarg)变种27个，恶鹰病毒(Worm.BBeagle)变种64个，波特间谍(Win32.Spybot)变种442个，高波病毒 (Worm.Agobot)变种760个。据估计，这些病毒的变种在将来还会不断出现。

二、漏洞被发现和漏洞病毒出现的时间间隔越来越短

　　一旦漏洞的技术细节被公布，就可能被病毒利用进行大规模的传播。据瑞星公司的统计显示，目前从公布漏洞到利用漏洞的病毒出现所用的时间越来越短。比如，从2004年4月14日 LSASS溢出漏洞(MS04-011)被公布到5月1日利用此漏洞进行破坏传播的震荡波病毒 (Worm.Sasser)出现仅用了短短17天。而瑞星公司2004年11月9日截获的SCO炸弹变种 AC/AD(Worm.Novarg.ac/ad)则利用了一个还没被软件厂商(微软)公布的IE漏洞进行传播。

　　可见，漏洞被病毒越来越多地利用，这就需要安全防护产品本身能够对漏洞进行防范和修补。因此，瑞星非常重视将漏洞攻击监控技术在产品中的应用，目前已经可以较好地解决这个问题。

三、国产木马、后门程序成为主流，目标指向网民真实财产

　　从2004年1月1日至2004年12月10日，瑞星全球病毒监测网共截获病毒26025个，比去年全年增加20%。其中，木马13132个、后门程序6351个、蠕虫3154个、脚本病毒481个、宏病毒 258个、其余类病毒2649个。

　　从这些数据可以看出，2004年出现的病毒中木马和后门程序最为活跃，已取代蠕虫病毒成为主流。这其中国产的木马又占了绝大多数，且越来越多的木马开始以窃取真实财产为目的。

　　2004年9月1日，瑞星瑞星全球反病毒监测网率先截获专门针对某银行个人版网上业务的 “快乐耳朵”木马病毒及其变种。当计算机感染此病毒的用户使用网上银行业务时，用户帐号、密码和数字证书就有可能会被窃取并发送到病毒编写者的信箱。

　　而11月26日瑞星截获的“股票窃密者”则是一个专门针对数家国内证券公司的网络交易系统编写的木马病毒。中毒之后，病毒会窃取用户的股票网络交易账号和密码，从而可以恶意买卖用户的股票，造成用户的资金损失。

四、“网络钓鱼”形式的诈骗活动增多

　　“网络钓鱼”(Phishing)是指攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动。受骗者往往会泄露自己的个人信息和财务数据，包括个人的真实信息，联系方式， email等，还包括银行卡号，帐户，密码等。

　　“网络钓鱼”比较典型的做法是通过发送垃圾邮件，采用欺骗方式诱使用户访问一个伪造的钓鱼网站，这种网站通常会做的与电子银行或者电子商务等网站一模一样，某些粗心的用户往往就会不辨真假，下载木马程序或者填写个人的登陆帐号和密码，从而导致个人财产失窃。

　　2004年12月初，网上出现了假冒的中国银行网站，该假冒网站网页与中行网页十分相似，仿冒网页上有输入账号和密码的地方，而中行的官方网站没有这些内容。但当用户在仿冒网页上输入账号和密码后，页面显示的是系统维护。实际上此时用户的银行卡帐号和密码已经被窃取。

　　据瑞星反病毒专家分析，在未来的一段时间里，针对股民、网络银行、网上购物用户的网络钓鱼式诈骗活动将越来越多。

反病毒业界的应变之道

　　针对病毒变种的日益泛滥以及新病毒出现速度不断加快，传统杀毒软件“截获—分析— 升级”的方式将变得非常被动，对未知的病毒进行查杀将成为未来反病毒软件的发展趋势， “未知病毒查杀技术”将成为未来各个反病毒厂商在技术上的竞争焦点。

　　针对系统漏洞给用户造成的危险，全球各反病毒厂商都对此非常重视。2004年11月25日在东京召开的2004年亚洲反病毒(AVAR2004)大会上，瑞星公司的反病毒专家蔡骏作了关于如何检测和防止缓冲区溢出的专题演讲，得到了全球同行的高度认可。目前许多危险的系统漏洞都属于缓冲区溢出类，一种被称为“远程漏洞攻击监控”的技术能够对这类漏洞攻击进行有效的防范，瑞星已经将该技术应用在产品中。

　　由于木马以及偷盗程序日益泛滥，几乎所有的木马都会通过改写注册表的方式启动自身或进行一些其他的操作，因此对注册表进行监控将成为未来反病毒的重要手段之一。目前，不少杀毒软件厂商已经将注册表监控功能添加到自己的产品当中。

　　同时由于“网络钓鱼”等诈骗手段不断翻新，用户不仅要安装并及时升级杀毒软件，更要提高个人防护意识，关注安全厂商的咨询和警报。

　　瑞星公司安全专家认为，从目前的计算机病毒疫情及病毒、黑客的发展趋势来看，传统单一功能的反病毒软件已经不能满足用户的安全需求。即使对于个人用户来说，也需要防毒、防黑、漏洞修复、数据拯救等功能集于一体的整体安全系统，防火墙和杀毒软件的结合使用已经成为必需的安全措施。

　　而对于使用局域网的政府和企事业单位单位来说，为了抵御愈演愈烈的蠕虫、网络病毒以及来自内、外部的黑客攻击和泄密行为，保护企业网络安全更要从整体防御出发。对于反病毒来说，不仅要在企业内部部署网络版杀毒软件、邮件防毒系统，同时在局域网的入口处部署网关级的防毒产品已经成为必需，硬件防毒墙在企业防毒领域的应用成为大势所趋，“将病毒隔离在网络之外”成为企业局域网安全人员的普遍要求。

出处：瑞星公司