08年中国大陆电脑病毒疫情互联网安全报告

本报告综合瑞星“云安全”平台、瑞星新病毒快速响应部门、瑞星客户服务中心、瑞星互联网攻防实验室等部门的统计、研究数据和分析资料，仅针对中国大陆地区2008年电脑病毒疫情和近年来黑客攻击/病毒发展趋势进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构、厂商作为互联网信息安全状况的介绍和研究资料，请相关单位酌情使用，如若本报告阐述之状况、数据与其它机构研究结果有差异，请使用方自行辨别，瑞星公司不承担与此相关的一切法律责任。

U4gb'_1W:]A0　　目录：

S8qtaNs0

y;R;Y&s4^9?M#j A0　　报告概要：病毒产业完全互联网化 杀毒软件面临大变革IXPUB技术博客F \3N2M t*Jpz1f

IXPUB技术博客"Q'Q
\bpW8ORQ@Q

　　第一节、电脑病毒疫情统计和分析IXPUB技术博客-ul"W%Q:Xu]Sy

e:|,^G dx0　　一、2008年电脑病毒数量统计IXPUB技术博客jt@Y/eq.i

M:W&kW V#Wg|0　　二、毒王、十大病毒和疫情介绍

4R&s)u2B!} X9S$r4RS0

tv'uY3{.u y0　　第二节、病毒产业的互联网化IXPUB技术博客%u0yh[1f$LM{f

b)@@_a vVwA0　　一、病毒互联网化是影响互联网安全的根本原因IXPUB技术博客1kZP9?+o%g6wPk

H5KRJ0MV5DZ5S1j-q0　　二、病毒互联网化链条分析

&NA}JQ*o2hb0

C{&[g
@0　　第三节、病毒互联网化造成的后果

!OF,Z'a [%U0}0

!AmtI_.`J0　　一、互联网化制造病毒的三大手段IXPUB技术博客%Y!C9e;x;opTg3P

IXPUB技术博客-Mv(Z
]z

　　二、病毒制造的互联网化，带来三大后果IXPUB技术博客K*F]F'y

IXPUB技术博客'{]+~Bz

　　三、病毒互联网化的直接后果，侵蚀互联网经济的根基IXPUB技术博客#rO]qP$z)qJ

&m~7iC;V:|z0　　报告概要：病毒产业完全互联网化 杀毒软件面临大变革

\9Wp wXg Z0Z7p4d0IXPUB技术博客.V!o3c p/y7f,d(k

　　瑞星公司的统计、研究表明，目前“病毒的互联网化”趋势已经非常明显，由于各种流行软件、浏览器插件、网站的漏洞层出不穷，盗号木马数量暴增，由病毒产业链带来的黑色利润惊人，木马盗号、挂马网站越来越猖獗，传统杀毒软件已无法应对严峻的安全形势。IXPUB技术博客(@ |xV*n Y\8f^

IXPUB技术博客 ]1zM(luZX

　　2008年的病毒数量继续暴增，比2007年增长12倍以上，其中“网页挂马”所传播的木马、后门等病毒占据90%以上。瑞星安全专家认为，从木马病毒的编写、传播到出售，整个病毒产业链已经完全互联网化，这是导致病毒数量暴增和危害增大的根本原因。IXPUB技术博客sJH^(R

IXPUB技术博客Cd/\b'S5T

　　传统的安全模式亟待变革，否则无论安全厂商还是互联网用户，都将被淹没在木马病毒的海洋中，互联网的各项基础应用和发展也将极大受损。瑞星认为，只有实现“安全的互联网化”，将整个互联网变成一个巨大的安全软件，才是应对“病毒互联网化”最根本的办法。IXPUB技术博客 ^`&T.JM o%n4eh

VEp*|Q%r0　　由于病毒的互联网化，网页浏览已经成为病毒传播的最主要渠道，网页挂马占到病毒传播总量90%以上。而且，由于应用软件漏洞、浏览器插件漏洞等频发，仅仅依靠网民自身的安全意识,很难应对复杂多变，花样翻新的病毒入侵渠道。IXPUB技术博客9eV&v"~&\t8dR.e K6}

y?#S8W d[F!F0　　黑客入侵和木马攻击，对互联网的影响已经超出了个人用户的范围，包括互联网搜索、网络购物、证券交易、网络聊天软件、下载等等，从最根本的盈利模式上都遭到了病毒的侵袭。例如，有些黑客利用木马点击器冒充用户点击竞价排名广告，这严重影响了真正的用户对搜索引擎的信任。其它互联网商业领域，同样面临此类问题。

VM6| L)?:`9D0t-B0

QO_wVB~0　　由于黑客产业链条的完善，其规模和效率大大提升。从统计数据来看，2008年1月至10月，瑞星公司共截获新病毒样本930余万个，其中绝大部分776万是盗号木马、后门程序，专门窃取网游账号、网银帐号等虚拟财产，具有极其明显的经济利益特征。IXPUB技术博客_N!m3vcR&QC

IXPUB技术博客+SYw&` NW;d

　　瑞星专家认为，病毒已经全面互联网化，其杀伤力、传播能力、破坏性都有大幅度提高。整个反病毒行业已经面临全面性的变革。
:yxS2@S)V2FN0 IXPUB技术博客SFa`y-u2H
　　第一节、电脑病毒疫情统计和分析

7h3G!{ x1_
V`d$nY0

!q1}$})X;A6F0　　一、2008年电脑病毒疫情统计

%XV1Mx-G
Y0

$@3l3d9?c:Fy6V0　　2008年1月至10月，瑞星公司共截获新病毒样本9306985个（注1），是去年同期的12.16倍。其中木马病毒5903695个，后门病毒1863722个，两者之和超过776万，占总体病毒的83.4%。这些病毒都以窃取用户网银、网游账号等虚拟财产为主，带有明显的经济利益特征。IXPUB技术博客E,?9^y-w:A

N'CUn7E0u,I0

IXPUB技术博客(fA"yf
g

s t4P6e1jM]T0　　与2007年相比，盗号木马、Rootkits驱动、木马下载器等新型病毒有了巨量增长，黑客“犯罪图财”的特征非常明显。由于大量木马采用了加载驱动、频繁升级等手段与杀毒软件对抗，使得用户极其容易遇到杀毒软件被病毒关闭、杀毒不彻底等情况，用户对于安全行业的整体评价有所降低。IXPUB技术博客} D cVNFf_O

F%E&J@Q0@4W1k0　　注1：关于本次报告统计数据的采样说明

_w9\#\eh2ZJ0IXPUB技术博客/u3[9p&Roz;w @%Z2Uv

　　①本报告内所有数据，除非特殊注明，其采样日期范围为2008.1.1至2008.10.31IXPUB技术博客0^M%`(J{S2n5g&g

IXPUB技术博客+Pz+w9a5Wh^x?R/I

　　②本报告所称病毒样本数，是剔除重复样本（去重）、剔除异常样本（由于各种原因被破坏不能运行的样本）之后的数字。IXPUB技术博客N sX/u'A]A

y`9UZ
c(}l uqR0　　③本报告所采用数据，3月1日之前采用传统渠道采集的数据，3月1日之后是基于“云安全”系统采集的数字。后者覆盖了99%以上的网民，其采样精度更为可靠。

1HB7L8C3[)^k0IXPUB技术博客'm*Y&dIT2k*sF

　　④关于新增病毒的数量，本报告采用“病毒样本数”，2007年上半年及以前的报告为“病毒记录数”。

]e0O_7D2Q0

g&u2R#t(P1S0　　病毒样本数：指的是瑞星公司收到的病毒文件数，包括而不限于exe、dll、com等类型文件。这些文件的大小、MD5值等都不相同，但文件名可能相同。IXPUB技术博客7b$Sc&J~
 
"Sg0o1\_*}Y} Wt
Z0　　病毒记录数：指的是瑞星杀毒软件病毒库内的特征码条数，每条特征码可以查杀一个到多个病毒样本。

rX2X/yhd&i0IXPUB技术博客[^?n&Gh

　　影响病毒记录数的因素：由于每个杀毒软件的核心引擎、使用技术不同，查杀同等数量病毒样本需要的病毒记录数不同，这样的差别，甚至存在于杀毒软件的不同版本上。例如，2007年上半年瑞星在病毒库中13万条记录，随后对其进行优化，优化后仅需11万。二、毒王、十大病毒和疫情介绍

v&WJ+I#U$bb0

h{AO4b~0　　根据瑞星杀毒软件及“云安全”客户端上报的数据，2008年1月至10月，全国约有8100多万台电脑（包含企业用户）曾经被病毒感染，其中通过网页挂马方式被感染的超过90%。2008年10月份，瑞星对1万台上网电脑的抽样调查标明，这些电脑每天遇到的挂马网站，高峰期达到8428个，最低也有1689个，去除单台电脑访问多个挂马网站的情况，每天平均有30%的网民访问过挂马网站（注2），中国大陆地区已经成为全球盗号木马最猖獗的地区之一。IXPUB技术博客!]%Y&mPi6](F0{m

6M c1cTJ0 
0R pw'A$d:g k(n0（10月份1万台计算机访问挂马网站统计图）IXPUB技术博客I3loE@eFh"k

IXPUB技术博客UT0J%xB3T2in

　　注2：此数字仅表明，每1万个上网者中，每天有3000人访问过带毒网站。如果这些用户打好全部补丁，则木马病毒是无法侵入用户电脑的。每天被木马成功入侵的用户实际比例，应该远低于30%。

Af'I}Ws1H\0IXPUB技术博客+h6s;u.`Ud
sz6s

　　以盗取网络游戏帐号为目的编写的“线上游戏窃取者”病毒成为2008年毒王，该病毒及其变种总共感染计算机2000余万台次，是排行第二的“安德夫木马”病毒感染台数的3倍。IXPUB技术博客ru!ruexn6cY

,jYNDI0X3?g3T6Ql+{0　　“梅勒斯Rootkits”排行第三，它是08年最流行的Rootkits工具，可以帮助很多木马病毒隐藏自身、逃避反病毒软件的追杀，甚至会关闭多种主流杀毒软件，使其失效。

+SeoJ|.B7x,k0

|B.@:w-c8G8K0　　在各省疫情方面，广东省以960余万台的数量领先，浙江、江苏、山东等省市紧随其后。从统计数据来看，各省网民中毒率几乎没有差距，上网计算机保有量是疫情地区差别最重要的原因。

z2N/xSPZG0

yW'y6eGC0　　十大病毒排名如下：
^n/d:m8F7|0 
x~iC:aDz)E0　　1、线上游戏窃取者（Trojan.PSW.Win32.GameOL）

+]q$` j~&uk%O6z0

1V LsN;Ha#`0　　2、安德夫木马（Trojan.Win32.Undef）IXPUB技术博客1WE`cH:Wk

IXPUB技术博客"I7?(~ A8Xhz

　　3、梅勒斯Rootkit（RootKit.Win32.Mnless）

&ol"d'N)Bu'T5F0IXPUB技术博客@R:s)G.V Zn:W

　　4、Flash漏洞攻击器（Hack.Exploit.Swf）IXPUB技术博客r J c.H)Of(}j

IXPUB技术博客Lb1?J5@(L O%m

　　5、奇迹木马（Trojan.PSW.SunOnline）IXPUB技术博客(o!h6A'@R xo

IXPUB技术博客k.cjhp?;D

　　6、安德夫Rootkit（RootKit.Win32.Undef）IXPUB技术博客9j:xW^s8D/`_

#{id,lvF7qk0　　7、西游木马（Trojan.PSW.Win32.XYOnline）　　

Jz"o%? r
xkWyW0

K2h5i
L5b/O`*R0　　8、POPHOT点击器（Trojan.Clicker.Win32.PopHot）IXPUB技术博客J;If-he8a

IXPUB技术博客qxF!R"r#{

　　9、代理蠕虫（Worm.Win32.Agent）IXPUB技术博客(f!\8z]W

IXPUB技术博客 t"Ny0u+[k-]c

　　10、QQ通行证木马（Trojan.PSW.Win32.QQPass）IXPUB技术博客PViW8E|y4n$j
 
RN"T/@:O2r"h0　　由于目前流行的各种热门网站、客户端软件和浏览器，都存在着众多漏洞和安全薄弱点，使得用户遭到攻击的渠道暴增；而且，随着黑客-病毒产业链臻于完善，支撑互联网发展的多种商业模式都遭到了盗号木马、木马点击器的侵袭，使得用户对于网络购物、网络支付、网游产业的安全信心遭到打击。长此以往，必将影响整个互联网的健康发展。IXPUB技术博客
v:q7J&Y`7a ?

IXPUB技术博客IS8IA4P"ER2I

　　第二节、病毒产业的互联网化

%GKwU0qh0

KeF\5mW5wLL0　　一、病毒互联网化是影响互联网安全的根本原因IXPUB技术博客9z lQ Ys N5Ya

0mM4k-{f \0　　2008年病毒数量逼近千万，系统漏洞、应用软件漏洞等层出不穷，用户对于互联网安全的评价越来越低，这是什么造成的？是因为黑客的水平高了，是杀毒软件的技术水平差了，是操作系统不再关注安全性了？IXPUB技术博客K2l(E3m"c#]7Dm

Zc&`1P)i*o5H0　　这些不是最根本的原因！根本原因是病毒产业的互联网化。

,T6^!f(K HwU+n0IXPUB技术博客cU7jUj7[T9d d-l

　　由于病毒制造、传播、牟利的流程完全互联网化，比传统的黑客行为更容易带来经济利益。原来黑客只有自己编写病毒、自己传播、自己窃取账号、自己出售，这样才能完成整个的流程。由于现在整个链条通过互联网运作，从挖掘漏洞、制造病毒、传播病毒到出售窃取来的账号，都成了一个巨大无比的黑色产业，黑客可以选择自己擅长的环节运作，从而使得产业的运作效率更高。

/`V\w$C0

4l_g zLaW8LD0　　从统计数据来看，活跃病毒中90%以上都与经济利益直接挂钩。病毒制造、传播、牟利的流程完全互联网化，从网页挂马占到病毒传播总量90%以上这个明显的特征我们可以看出，互联网最为基础、最为普遍的应用----网页浏览是病毒制造者利用的最为深入透彻的传播渠道。下面我们就来了解一下，病毒产业是如何互联网化的。

2HC'G]+x9j!K'WU0IXPUB技术博客E ~+w*Xq2J

　　二、病毒互联网化链条分析IXPUB技术博客w]:y)qN e

*~6eF|hH~;{SP[0　　从技术上讲，目前的病毒产业链条由四个部分组成：挖掘安全漏洞、制造网页木马、制造盗号木马、制造木马下载器（病毒下载者），这些环节形成了分工明确、效率快捷的工业化“生产线”。IXPUB技术博客{3AYk\ ~`],} E5i%~

IXPUB技术博客Ae|mUk
q

　　挖掘安全漏洞是病毒传播的基础，目前主流的病毒都是利用各种漏洞传播，没有漏洞的电脑病毒很难侵入；网页木马是病毒传播的实际应用，目前90%以上的病毒通过这种途径传播；盗号木马是链条里最重要的部分，它负责窃取用户的游戏账号等；木马下载器是“病毒运输队”，侵入用户电脑后就会从网上源源不断下载病毒。IXPUB技术博客dsg$[?:Huw~

IXPUB技术博客c\4`jBs'xXm

IXPUB技术博客 J|9n0f(t b)P

　　A、漏洞的挖掘和出售IXPUB技术博客:@7q{I.cY
L3f.a:`#oC

IXPUB技术博客Vu&OvPHN!y

　　软件存在安全漏洞是当前病毒传播的一个重要前提，通过用户电脑系统中安装的软件存在的漏洞，病毒可以快速的在用户不知情的情况下进入互联网用户电脑。现在，软件漏洞挖掘已经成为病毒产业链里的一环。IXPUB技术博客#VN^_.XU+@p

d+pu:Z%q9fp0　　过去，在业界存在着漏洞的“秘密报告”机制，研究人员发现漏洞后秘密报告给软件厂商，厂商获取漏洞信息，提供修复程序，并通过自动更新或者发布公告的形式让用户安装最新版本，消除了安全威胁，这种机制严重依赖研究人员的道德品质。

(d mj&?Typ(Li0

%P0H@q vi$]*[0　　到了今天，这种情况已经悄然发生了改变。瑞星工程师举例说，有些黑客专门从系统上寻找漏洞，找到之后就可以到地下交易网站进行出售，最便宜的漏洞也可以卖到数百欧元，高的甚至可达五六千欧元，这种高额收入完全可以让黑客不必从事其它工作，专门依赖此种黑色收入。IXPUB技术博客&Q@g
F$y

3aApD:P%~e0 IXPUB技术博客b!{U#a3UkGp Ke X
　　（某国外黑客网站的漏洞出售信息，最后一列是漏洞的价格，单位为欧元）IXPUB技术博客,^)vz*Qj~-h.z&[

IXPUB技术博客SX.q[KBgx5` u

　　黑客阻止购买了漏洞信息后，利用这些信息编写强大的新病毒，往往新病毒已经在互联网大量传播的时候，软件厂商还不知道漏洞在哪里，因此不能及时提供修复补丁，造成0day攻击蔓延。B、网页挂马的策略IXPUB技术博客6K3j-@a_4l_

IXPUB技术博客5YW-P IQ

　　近年来，虽然黑客编写的病毒，在技术上并没有飞跃式的变化，但是他们充分利用了互联网，通过互联网的高效便捷来整合整个产业链条，提高运作效率。而网页挂马则使他们利用互联网的能力达到一个新的高度。

7bqF9^@0

"t6{(Xj*~Qs0　　从本质上讲，现在主动进行传播的病毒已经非常少，绝大多数木马、后门都是通过网页挂马进行的。而网页挂马是一种“被动”的病毒传播方式，用户只有去主动访问挂马网站，才会遭到木马病毒的侵袭。

5\-Qsz f+HF;\h0

.z@q~&b4b,k{0　　为了让更多的用户去主动访问挂马网站，黑客采取了多种方式来提高挂马网站的流量，例如：有的黑客会从色情网站收购流量，按照一定的价格支付报酬，国内收购流量的价格，通常能够达到100元/万IP。

hxy!oyHe d:H0

,VG_a'D0　　有的黑客团伙，会雇佣专门的人去入侵正常网站，如门户网站、新闻网站、热门论坛等，在其中植入木马。

P!T$@ xDm0

8{T5}(D"hn0　　有的黑客团伙，雇佣专门的公司，对自己建设的挂马网站进行SEO优化，当用户搜索“美女、电影”等热门关键词的时候，这些带毒网站会排在搜索结果的前几页，从而带来大量的用户。

n ?9F1v)MMa*t@YA0

(`!xP.R
EAauP0　　有的黑客团伙，利用新兴的SNS网站散发挂马链接，通过站内信、博客回帖等形式，吸引网民访问挂马网站。现在热门的WEB2.0网站，几乎都遭到过此类带毒链接的侵扰。IXPUB技术博客)~ sKU#c*?5M8[4F'v

%i6V?$PGzt0　　C、网页挂马常用的漏洞IXPUB技术博客!mT n!U%DA

3f*S,x&a]:r0　　2008年，黑客对于漏洞的利用趋势没有明显转变，其主要用途仍然在网页挂马上，包括RealPlayer、迅雷、PPlive等流行软件都出现过严重漏洞，被黑客利用传播木马。而4月份爆出的Adobe Flash Player漏洞也成为本年度最为流行的挂马漏洞，有18%的木马通过该漏洞侵入用户电脑。

*z~wHM#lx2j0

'B8JS8Se
_Fl/JF0

m-Y&?*I*t3S"q6i0　　传统上，网民们有如下错误观念：只有不良网站才会带毒、才会被挂马，只要坚持良好的浏览习惯，就可以躲避盗号木马的侵袭。统计数据表明，这样的观念已经过时，那些所谓的“正常网站、大中型网站”正在整个木马链条中发挥着越来越重要的作用。

Lf/FIPb,H Fi3j0IXPUB技术博客:yx @"J{7RIE i

　　瑞星公司的抽样统计显示，每天约有30%的网民上网时会遇到挂马网站。这些挂马网站中80%以上属于管理不严的正规网站，其中包括新闻网站、网络论坛、博客网站等。2008年，多个主流门户网站首页悬挂的广告中被植入木马病毒，用户访问这些网站就会中毒。

1i3Q9ew0]0IXPUB技术博客4Kif%K5F|a

　　瑞星专家提醒说，现在的木马病毒绝大多数通过漏洞传播，而且多数木马病毒运行时没有明显的异常特征，用户很难及时发现自己已经中毒。只要用户电脑上的漏洞存在，访问挂马网站中毒的风险就一直存在。即使安装了杀毒软件，也只能在病毒入侵时拦截，风险比弥补漏洞之后会高许多倍。

9Q D)l
fm:P6Z#Y6h0IXPUB技术博客-LO9Xl+J-l

　　根据瑞星统计，2008年黑客常用的各种漏洞共有16个，其中既有MS06-014、MS08-056这样的系统漏洞，也有Flash Player这样的浏览器插件漏洞，还有迅雷看看、暴风影音等常用软件的漏洞。正是因为这些漏洞的存在，而且用户又没有及时将其弥补，这才使得木马病毒可以很容易的侵入用户电脑。IXPUB技术博客n:zC&AF
d/~o%xN
 IXPUB技术博客C5`J`Qa~2A
　　有鉴于此，安全专家提醒，弥补漏洞（包括系统漏洞、浏览器漏洞和应用软件漏洞）应该成为提升互联网安全的重要举措。而通过宣传帮用户提高安全意识、开发可靠地第三方漏洞弥补工具，也应成为安全厂商应该承担的重要社会责任。IXPUB技术博客]6b%O m0Dg@

IXPUB技术博客hC4eF*pKm6B,Km

　　第三节 电脑病毒互联网化造成的后果

4r oKl!uWl"Jw s0

O#lT$R)X%Ux9h$V-f0　　近年来，随着“病毒互联网化”的深入发展，黑客采用大量病毒洪水式攻击用户电脑的例子也越来越多，所谓“洪水战术”，就是指黑客通过对盗号木马的频繁升级，试图以数量来拖垮杀毒软件。IXPUB技术博客.z*`9r)Wk(u

J"j N$E?X*{n1ID0　　一、互联网化制造病毒的三大手段

~m]w _!C `RM0

?]+w7O8OL0M0n0　　病毒产业的互联网化，使得黑客可以利用互联网来加速病毒的制造，提高制造病毒的效率。黑客采用的三大手段手段包括：

b6P
h5PiN0IXPUB技术博客gh&ah2~aZ

　　A、采用效率更高的病毒生产软件，这些软件可以通过加壳、加花等方式，把已有病毒改造成杀毒软件无法识别的版本，从而可以自动生产出大量新木马病毒。这类机器自动制造的病毒，占据了新增病毒的很大部分。IXPUB技术博客;]/J XAR Y

4I ^P4\ h5lk]0　　B、租用更好的服务器、更大的带宽，为“木马下载器”下载病毒提供硬件上的便利。由于黑客产业的丰厚利润，黑客团伙有经济条件改善自己的“生产环境”，以求更丰厚的利润。IXPUB技术博客R]1fC+\0dv

IXPUB技术博客 d1X r`m's

　　C、利用互联网论坛、博客等，雇佣“软件民工”来编写更强的驱动，加入木马中与杀毒软件对抗。现在很多木马病毒都会自带Rootkits驱动，这些驱动可以关闭杀毒软件、修改系统设置和文件，使木马更容易入侵用户电脑。而编写Rootkits在很大程度上属于“体力劳动”，普通计算机专业大学生经过几个月的编程训练即可胜任此工作。大量软件民工的加入，使得黑客产业链条更趋向“正规化、专业化”，效率也更高。

:x2x0~Z#v6wff y0IXPUB技术博客_8r2B0AoN

　　二、病毒制造的互联网化，带来三大后果IXPUB技术博客Ym}\t

!hjsp X:Fi#g0　　病毒制造的互联网化，使得整个黑客产业制造病毒的效率大大提高，从而给反病毒厂商带来如下问题：IXPUB技术博客2jv1ym0U(x

IXPUB技术博客o aH/YK5B)ePy_

　　1、新病毒巨量增加、单个病毒的生存期缩短，现有病毒监测技术无法及时截获新样本。

I Z,M8Q0b J5wW0@1e$h0IXPUB技术博客|[8E;?1D9s

　　2、即使能够截获，则每天高达数十万的新样本数量，也在严重考验着反病毒厂商对于病毒的分析、处理能力。IXPUB技术博客 X }V"R*zA

.D!H#z b"O0Y)_zZ&S0　　3、即使能够分析处理，则如何能够让用户在最短时间内获取相应的病毒库，成为一个重要的问题。IXPUB技术博客JJU~X(i|\9gm x

IXPUB技术博客*O_)x;UC K

　　上述问题的出现，其实是受到了杀毒软件传统设计思想的局限——“传统杀毒软件的立足点都在于：如果电脑已经被病毒侵入，杀毒软件如何干净彻底的清理病毒”。在这个设计思想的影响下，杀毒软件和病毒把用户的电脑当作了“战场”，即使杀毒软件获胜，也可能给“战场”带来巨大的损害。IXPUB技术博客g7it4V_c(k

IXPUB技术博客VT]QJ

　　即使是近期热捧的主动防御技术，在本质上也属于“事后防御”的范围，当主动防御启动的时候，木马病毒已经侵入用户电脑，只是还没有成功运行。因此，主动防御只能成为杀毒软件整体防御体系的一个重要部分，而不能单独成为应对电脑病毒的解决方案。IXPUB技术博客-r8cN~ g&BQXFJ

IXPUB技术博客IiM2]-p*{b

　　综上所述，杀毒软件的设计思想、设计初衷就面临巨大的改变：我们应该把病毒阻挡在电脑之外，在盗号木马、病毒刚刚出现在互联网上，还没有来得及对客户端（用户电脑）发动攻击时即将其屏蔽。这种技术的实现，需要杀毒软件的完全互联网化，让互联网本身成为一个巨大的杀毒软件。

sY?] p+Q Ll;KK0IXPUB技术博客']-x*ZR@&K+L

　　三、病毒互联网化的直接后果，侵蚀互联网经济的根基

A_1|%l1U B0

7Mpx Yu&Q*U1C(uFb0　　随着黑客产业链的完善，很多黑客试图以操作木马病毒的手法来介入正常的互联网商业领域，包括搜索引擎、网址站、视频网站等，都已遭到此类恶性行为的“感染”，严重影响了用户对于整个互联网行业的信心。

(as#_VX9d0IXPUB技术博客!EmS.P!D

　　A、木马点击器侵袭搜索引擎IXPUB技术博客 ^dls-{3|u g v,bL

DLd6K)t!c0　　2008年年初以来，互联网上的Clicker（木马点击器）类病毒出现异常增长，今年1月至10月，瑞星病毒监测网络共截获单纯性Clicker病毒19万个，包含Clicker功能的复合型木马将近100万。如此巨量的病毒出现，意味着其背后拥有丰厚的黑色收益。IXPUB技术博客Kw$F }tV$FhMM

G:IS` h1`0　　据某国外机构统计，目前互联网上广告总点击率的35％来自于“点击欺诈”，该机构警告说，“点击欺诈”甚至会摧毁这一热门的网络商业模式。而按照点击效果付费，正是百度、谷歌等互联网搜索引擎生存的基础。IXPUB技术博客I8N
ONr\?J

M!h7{]%Nd7z0　　所谓“Clicker病毒”中文名叫做木马点击器，它们侵入用户电脑后，会根据病毒编写者预先设定的网址，去点击网上的广告，如百度竞价排名、Google AdSense等，让广告主支付更多的广告费，而病毒犯罪团伙及其合作伙伴则会分享这些额外的“利润”。

D${-ReL"X z6M0

F1A'YF7|0　　这只是“点击欺诈”最简单的牟利方式，还有其它各种各样的黑色商业模式，包括有的公司向黑客团伙购买中毒机器的使用权，对竞争对手的“竞价排名”广告进行恶意点击，从而大量消耗对手的广告资金等等。这些“点击欺诈”重创了广告主对互联网广告的信心，可能拒绝再为此付费。

0k[ J7D/}gCrh0IXPUB技术博客3T&S P \"eULOxD

　　B、Flash插件漏洞侵袭视频网站等IXPUB技术博客"t2YW hPD3r m)?#|N

IXPUB技术博客S't/M5q:Jtj;~y

　　2008年5月，利用浏览器插件Flash Player漏洞传播的攻击代码出现，由于该漏洞应用起来简单方便，致使大批木马病毒通过此漏洞传播，尤其是“挂马网站”类型的攻击被黑客青睐。

kk8~u P&K{ d [0IXPUB技术博客'SE3N@yGZr

　　Flash Player是一种广泛应用在IE、firefox等主流浏览器上的插件，用户只有安装了该插件之后，才能正常浏览网络视频、网络广告、玩网页游戏等，当用户第一次访问视频网站、网游网站时，系统会自动提示用户安装该插件。

BcYcZIiRG0

6sy)Hj p Z*~6?0　　由于该插件不具备自动升级机制，很多用户在安装了旧版插件之后根本不升级。尽管Flash Player插件漏洞出现后的很短时间，Adobe公司就开发了新版插件弥补了漏洞，但绝大多数用户用的还是旧版插件，没有升级。

%JCP x]0IXPUB技术博客Nl"ir ^-Zg:\CQ9x@

　　根据瑞星统计，截至6月15日，Adobe公司发布安全插件之后的两个月，安装新版插件的用户仅有38.59%。经过瑞星等公司进行大规模新闻宣传、通过杀毒软件的信息中心进行告知后，7月5日的统计标明，安装了新版插件的用户上升到53%，仍有47%的用户使用带有漏洞的插件。IXPUB技术博客E ~2Yj)vTuc

IXPUB技术博客-OKPGaE ~

　　相当危险的漏洞、经过各大公司的教育性宣传、提供专业的补丁下载之后，仍有近一半的用户处于不设防状态。这样的事实说明，在现有的网络环境下，网民的安全意识相对薄弱，或者是缺乏获取相关信息的渠道，难以应对复杂多变的网络安全形势。

|/Dl$v*Y$Lj,w0

kd8ov7L[4t!|@2I3J0　　而且，由于视频网站、网页游戏、SNS等新型网站越来越多，此类网站多数会开发基于自己的客户端插件，而这些插件在设计初始就以实现功能为主，对于安全防范的设计很少，这可能给用户安全带来很大风险。

_eEotC"[dd0

3l5AAJt:Vfq0　　C、木马带来假流量，动摇新经济基础IXPUB技术博客Y:CS m-n

+NSl"l)t%s0wz0　　在木马病毒当中，有一种特殊种类的木马叫做“Clicker（木马点击器）”，它除了会点击网络广告，获取不正当收益之外，还会出售一种特殊的商品“流量”。所谓流量，其实指的是网页点击率，进而通过点击率来影响网站的全球排名。

vxRz$~-Yo0IXPUB技术博客W9@p'ec4A

　　例如，某黑客可以创立一家新概念的网站，如视频、交友等具有“概念”的网站，再制造“木马点击器”病毒，把网站的地址预置到病毒之中，让这些病毒去感染数十万、上百万的用户电脑。然后，这些中毒电脑就会自动去点击指定的网站。

WHg
B5H5VpDM6K0

#Bt*CJ'T,q0　　表面上看起来，某个新型网站创建伊始就能带来数十万的点击，黑客就可以借此来吸引风险投资。即使不能获取风险投资的信赖，也可以拿去欺骗广告商，或者干脆参加谷歌、百度等公司的广告联盟，分享无风险利润。IXPUB技术博客C1t.b{y

IXPUB技术博客C:a6iM I8[

　　其实，这只是最简单的一种形式，更为普遍的是黑客每人负责某个环节：有的专门编写病毒，有的专门想办法将这些病毒传播出去（挂马），还有的专门负责“销售”，把木马点击器的流量换成真金白银。

A sO#EP-g(LvS.a0IXPUB技术博客zO^i2o:pP

　　这些恶性流量的存在，大大动摇了网络新经济的基础，包括互联网广告、风险投资等多个领域遭到严重冲击。广告商由于无法评估广告的效果而收紧预算，风险投资对网站的真实价值产生怀疑而不敢投资，可以说，木马病毒已经成为阻碍互联网经济发展的重要因素之一，它影响的是网络经济的“诚信”。

|t P@'b&Vk3rU0IXPUB技术博客+bn1X7V.IA

　　D、盗号木马危及网游、网银等

-q?L3vX*JC0

+{*vE`OA x!p7q0　　瑞星公司的统计数据表明，2008年前10个月，互联网上共出现930余万新病毒，其中木马病毒和后门病毒共计776万，占总体病毒的83.4%。这些病毒主要以窃取网络游戏、网络银行等虚拟财产。

C@f F Nk*F"G `0IXPUB技术博客Hl@n&y;B5I'p3dT/k

　　由于现在黑客产业链极为发达，黑客们通过分工合作，可以轻易将窃取的各种账号、装备出售，换取大量钱财。根据媒体报道，近期被警方破获的某黑客团伙，从2007年12月以来就通过传播盗号木马，盗窃游戏账号2000万余封（黑客们把被窃账号叫做“信封”），非法获利数百万元。

BQ`
fm0

J?5Tyg0cp8Z0　　对于网游玩家和网游公司来讲，此类犯罪活动严重影响着自己的利益。玩家往往在一款游戏上投入大量金钱和精力，而被盗号木马洗劫一空。大量被盗玩家的申诉，也牵扯了网络游戏公司的精力，据业内人士透露，大型网游公司为了应付盗号而投入的研发、人力、客服等成本，每年可达数千万元。IXPUB技术博客1n I!@d Z_1F7yV

uYp2M0N0　　E、盗号木马侵袭网络下载

c~)dE+SnK0IXPUB技术博客
XDtwf-S bwk:@

　　通过网络下载视频、音乐等，已经成为国内网民最为热门的上网目的。但是对于用户来讲，下载也是招来盗号木马的重要渠道之一。IXPUB技术博客*Akq)uBA[^
d!e

IXPUB技术博客!rf al3C)|n K*R

　　A、目前所有的主流下载软件，都存在着或多或少的漏洞，这些漏洞可能被挂马网站利用，用户安装了下载软件之后，再去上网就可能中毒。

l%E2a1gL1g ?0

|,Q0~4BNh:]0　　B、目前的视频文件中存在着捆绑病毒的风险，在RMVB等主流格式的视频文件中，可被捆绑盗号木马、弹窗广告等，这些恶意程序在用户下载后，就可能感染用户电脑。

o,Q$]J3_5h$c9RY
E0IXPUB技术博客Kx+p&S zJP

　　C、由于某些下载软件提供P2P共享功能，用户可以通过搜索其他人的共享文件夹来找到自己喜欢的文件。利用此功能，有些木马会主动把自己复制到下载软件的共享文件夹中，起一个诱惑性的名字，使用华丽的图标，欺骗别的用户主动进行下载，从而使下载软件本身成为病毒传播的渠道。

!LH FE-M.M*r0

9L0x8Q9@@3C&@ k4D"[4E0　　总结：瑞星安全专家表示，传统的安全模式亟待变革，否则无论安全厂商还是互联网用户，都将被淹没在木马病毒的海洋中，互联网的各项基础应用和发展也将极大受损。瑞星认为，只有实现“云安全——安全的互联网化”，将整个互联网变成一个巨大的安全软件，才是应对“病毒互联网化”最根本的办法。IXPUB技术博客k&q4u.n6Mvn
IXPUB技术博客M.g;MwUe d` ^`