◆ 2004，病毒漫舞
◆ 蠕虫遍布整个网络
◆ 木马劫掠真实财产
◆ 脚本病毒甘做幕后帮凶
◆ 2004年毒界“风云”榜
◆ 与毒过招
◆ 防毒路上，还欠缺什么？

2004，病毒漫舞
■ 安天实验室 张晓兵
2004年，病毒依然保持着高速发展的势头，有关资料显示，2004年全年产生的病毒种类已经达到了25000种，大大超过了2003年20000种的病毒产生数量，这其中大部分为没有感染能力的蠕虫、木马类病毒，而像CIH这种可感染的病毒则是少之又少。
2004年的病毒与反病毒的风云际会到底呈现出哪些特点呢？

2004病毒特点

网络病毒仍是主流
不可否认，互联网依旧以超出想象的速度迅速膨胀着，与此同时，无线网、电视网也都得到了长足的发展，IPv6产生了,3G走近了。当这些协议正式推行时，网络的规模和概念都将进行革命性的改变，让我们无从猜测，但有一点是可以确定的，就是在网络时代，网络病毒已经成为病毒家族里的超强音。
网络病毒是一个广泛的概念，它是指通过网页、邮件、即时通信、P2P等网络手段进行传播的蠕虫、木马、黑客程序等病毒的总称。无论从数量上还是发作情况上来看，网络病毒都是2004年最大的“赢家”。去年初的“SCO炸弹(Worm.Novarg/Worm.MYDoom)”大家是否还记忆犹新？该病毒通过邮件疯狂传播，其速度不亚于当年的“求职信”病毒，而去年中的“恶鹰（Worm.Bagle）”与“网络天空（Worm.NetSky）”病毒作者之间互相攻击、竞相推出病毒新变种的现象，也成为2004年信息安全领域一道难得一见的“风景”。
这些病毒的泛滥，说明了网络病毒继2003年以来，继续保持着主流病毒的形象，继续威胁着上网用户的安全。

漏洞病毒风光无限
无独有偶，漏洞病毒继2003年“大出风头”以后，2004年依然是“风光无限”。2003年8月份冲击波病毒的爆发，相信大多数电脑用户已经领略到了这类病毒的威力，而2004年五一期间爆发的“震荡波(Worm.Sasser)”病毒，更使人们不得不再一次重温漏洞病毒带来的噩梦。
漏洞病毒其实是蠕虫病毒家族的一种，由于它本身利用了操作系统的漏洞进行传播，因此也被称为漏洞病毒，这类病毒的特点就是“来势汹汹，去也匆匆”。操作系统一旦出现重大漏洞，就等于所有的电脑用户都为病毒打开了一扇毫无防备的大门，让病毒可以来去自由。另一方面，重大的操作系统漏洞往往是核心程序出现了问题，病毒一旦利用这些漏洞进行攻击的话，就会使用户电脑的操作系统崩溃，从而出现各种怪异现象。因此，只要是漏洞病毒爆发，一定是天下皆惊的。然而，这类病毒由于利用的是漏洞，只要将漏洞堵住，病毒就会立刻失效，当用户及时下载了微软补丁和使用了反病毒厂商免费提供的病毒专杀工具后，它们就会成为过眼云烟，在短时间内消散的。

即时通信、网游病毒全面开花
2004年还有一点也颇引起人注目，那就是即时通信工具大战和网游大战了。在QQ成为即时通信的王者，MSN Messenger成为第二之后，立刻引发了即时通信工具的大战，这种现象使得即时通信立刻成为继邮件之后的又一大平台，从而滋生了大量的即时通信病毒。
可别小看这些年纪轻轻的病毒，它们可是经过了好几代的变异了，从最初只偷盗聊天记录，到后来偷盗用户账号和密码，再到2004年在即时通信工具里发送病毒网址来诱惑用户中毒，这类病毒的能力也越来越强。而新兴的MSN Messenger即时通信工具也陆续出现了类似“MSN射手”、MSN骗子（Worm.MSN.funny）这样的病毒。种种情况表明，病毒编写者开始全面介入这一新兴平台，以后这类病毒将会越来越多。

病毒的商业化趋势明显
2004年，继震荡波之后，比较惹眼的病毒恐怕要算是“网银大盗”系列病毒和“快乐耳朵”病毒了，如果您了解了这类病毒的特性，就会觉得那些网游病毒只是小儿科了。
这类病毒不再拐弯抹角，而是直接盯上了赤裸裸的金钱，就像是一个间谍，会隐藏在用户的电脑中，当发现用户登录网上银行时，便把用户名和密码记录下来，发送到指定的邮件，病毒作者只要定时查看邮箱，便能收集大量的用户网上银行的信息，很轻松就可以登录到网上银行进行现金转账。虽然网上银行为每个用户提供的可转账的资金有限，但是这类病毒一旦泛滥，积少成多，也是一笔很可观的资金，如果这类病毒的编写成风，将会极大地阻碍网上银行这类新生事物的发展。
而在2004年11月下旬出现的“股票窃密者（TrojanSpy.Stock）”则更甚，专门针对数家国内证券公司的网络交易系统编写。如果用户中毒，病毒会窃取用户的股票网络交易账号和密码，从而可以恶意买卖用户的股票，造成用户的资金损失。从这些事例中可以看到，病毒的商业化趋势已经越来越明显。

图1 “快乐耳朵”诱惑用户中招的网站画面

手机病毒在成长中发展
当人们还在争论手机中到底有没有病毒的时候，手机病毒已经悄然降临，成为2004年病毒领域又一道“风景”。
在第一例手机病毒“洪流”沉寂了两年后，手机病毒从2004年6月开始发起了第二次攻击浪潮。
很明显，这次手机病毒都不约而同地盯上了智能手机。2004年年中时出现了“卡波尔（Worm.Symbian.Cabir.a）”、“灰尘（WinCE4.Dust）”、“布兰多（Backdoor.Wince.Brador.a）”等多种智能手机病毒，年终时又出现了可以通过控制PC来向手机发送垃圾信息的“Delf-HA”病毒、影响Symbian手机操作系统的“头盖骨（Skull）”病毒等。
与此同时，Sun公司手机版Java软件的两个漏洞被发现，蓝牙设备的三个重大漏洞也被发现，还有人制作出了能破坏蓝牙设备的蓝牙枪。

反病毒技术的2004

虽然随着反病毒技术的发展，病毒已经成为可以控制的变量，但病毒与反病毒之间的战斗永远也不会结束，它们之间是水涨船高的关系，随着病毒的变异，反病毒公司依然要长时间走着技术革新的道路。

驱动级编程技术得到发展
每年反病毒公司都会在年终推出新版的杀毒软件，这些杀毒软件里使用的新技术就成了反病毒技术革新的证据。
驱动级编程技术是2004年KV2005使用的技术，它采用驱动编程的思想，将反病毒引擎从应用层移到了核心层.这样做的好处是使病毒的查杀速度更快，对病毒监控得更彻底。但也会产生不好的影响，就是编程难度增加，如果不经过大量的测试，会给操作系统带来不稳定的隐患。不过，无论怎样，这种技术的产生与应用都是反病毒技术上的一个进步，因为只有同操作系统结合得越紧密，对病毒的防护才会越有效。

单机网络化的趋势开始明显
随着技术的发展和下移，许多原来网络版里使用的技术开始更多地在单机版的杀毒软件中体现，成为2004年反病毒技术上的又一个亮点。
瑞星杀毒软件2005版就是一个典型的例子，其网络黑名单技术使得单机用户能够在局域网环境下很好地防御像FUNLOVE、尼姆达这样通过网络传播的病毒，其漏洞监控技术也为单机用户在局域网中的使用建立起一道防线。

病毒监控技术更加完善
病毒监控技术自产生之时起就得到了反病毒公司的大力推崇，经过几年的发展，成为反病毒的一支重要力量。如果说病毒查杀技术是“亡羊补牢”的话，那么病毒监控技术就是“未雨绸缪”，对用户来说是更加有用的一种技术，于是病毒监控技术的完善便成了2004年反病毒技术的又一话题。
纵观新近推出的新版杀毒软件，给用户留下深刻印象的恐怕要算监控系统了。江民推出了七大监控系统，瑞星则推出了八大监控系统，虽然监控系统越多，会对资源占用越多，但是对于机器配置较好的用户来说，使电脑更安全才是根本。
2005展望：网络争夺战

漏洞病毒依然会是毒魁
就目前的Windows操作系统来说，几千万行的代码、上百万软件工程师共同进行编码，想没有漏洞是不太可能的事情。我们也不得不承认，漏洞病毒依然会是极其厉害的一类病毒。
就像每年操作系统都会出现重大的漏洞一样，2005年也会出现类似蠕虫王、冲击波、震荡波这样极具杀伤力的漏洞病毒。这类病毒不会很多，可能只有一两个，但是却能毫不费劲地造成社会问题。因此，及时关注病毒和漏洞信息应该成为每一个电脑用户的习惯，这样才有可能在漏洞病毒面前不再显得那么脆弱。

浏览器劫持会向纵深发展
浏览器劫持现象在2004年初步形成气候，将会在2005年进行发力。它是指一些恶意程序通过控制浏览器的形式来左右用户的电脑，使用户上网时出现各种问题，这其中就包括曾经名噪一时的脚本病毒和最近新出现的广告插件（ADWare）、色情插件（PornoWare）之类的恶意程序。
ADWare程序在非法侵入用户电脑后，会占用用户大量的网络带宽，使上网速度变慢，而PornoWare则会非法修改用户的长途拨号或网络银行设置，使用户莫名其妙地产生巨额支出。由于这类恶意程序隐藏得很深，用户一般很难发觉，比传统的病毒更具威胁性。

网络钓鱼将引发新的社会问题
最近两年一个新兴的网络问题是垃圾邮件的问题，而2004年及以后，另一个新的热点将会是“网络钓鱼”。网络钓鱼是2004年才出现的新事物，与网银大盗之类的病毒偷盗行为不同，它采用的是“舍不得孩子套不着狼”的战术，利用真实的病毒网址来诈骗用户上当，从而盗取用户的网络银行或信用卡的密码，从而盗取大量现金。

图2 “网络钓鱼”界面

随着网络的发展，这类问题将在2005年进一步扩大，成为新的社会问题。对于这类问题的解决已经不是单纯的用户如何防御的问题了，已经上升到了网络监管的层次。如果能对网络进行规范化管理，会使我们上网的环境更纯洁些。
不管怎么说，热热闹闹的2004年即将过去，回首这一年，病毒依然是我们心中抹不掉的痛，遥望2005年，我们只能说，希望病毒再少些。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=241&categ_code=10041003