【51CTO.com 綜合消息】江民反病毒中心、江民KV病毒預警監測系統、江民全國惡意網頁監測系統、江民客戶服務中心聯合監測統計的數據顯示，2008年01月 01日至2008年12月31日，共截獲病毒1095932種類（所有病毒計數按KV特征碼記錄計算，并非樣本MD5值，病毒變種無論多少均視為同 一類病毒），較2007年增長201.9%，共有28085085臺用戶計算機感染了病毒。

與2007年相比，2008年度病毒種類增長了約201.9%，感染計算機總數下降了18.39%。雖然2008年總體來說計算機病毒數量仍然居高不 下，但總體病毒感染量的下降也在一定程度上反映出國內的網民在安全意識方面有了一定的提高，網絡安全防范措施有所增強。

圖1

從全年的病毒種類來看，2008年月病毒種類維持在10萬左右。年初的時候，處于相對平穩狀態，在5月份達到年度峰值（110144種） ，之后在8萬到10萬之間上下浮動，10月份跌到年度低谷（78895種）。

圖2

從感染的計算機數量來看，病毒疫情最嚴重的月份集中在上半年。1月份全國感染計算機總數達到年度峰值（341萬7千余臺），成為 年度疫情最嚴重的月份。2月份到9月份有一定幅度下滑，10月份達到年度低谷（129萬1千余臺），11月、12月有微幅上揚趨勢。

從所截獲的病毒種類來看,2008年所截獲的病毒中,木馬病毒占78%,后門病毒占10%,廣告程序占4%,蠕蟲病毒占6%,其它類型惡意代碼 為2%。相較于2007年，木馬、后門類病毒占病毒總數的比例增長了10%，這說明2008年度網絡安全最大的威脅仍然來自于木馬、后門類病毒。

圖3

總體來講，2008年計算機病毒疫情總體呈現出如下幾個特征：

一、網游盜號類病毒大行其道

新木馬病毒中十有七八受經濟利益驅使，利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡游戲玩家的游戲帳號、游戲密碼、所在區服、角色等級、金錢 數量、倉庫密碼等信息資料的病毒今年十分活躍。

2008年年截獲的新木馬病毒中，80％以上都與盜取網絡游戲帳號密碼有關。病毒作 者的牟利目標十分明確，就是盜取互聯網上有價值的信息和資料，特別是網絡游戲帳號密碼、以及虛擬裝備等，轉賣后獲取利益。逐 利已成為此類病毒的唯一動機和目標，隨著網絡游戲的火爆和興盛，此類病毒仍然有著龐大的市場和生存空間，成為2008年度最主流 的計算機病毒。

二、應用軟件漏洞成為“網頁掛馬”新途徑

2008年，每一次系統漏洞出現，都會迅速涌現出大量的利用該漏洞的惡意網頁。除了操作系統以及瀏覽器存在的漏洞，眾多應用工具 軟件漏洞也大量被病毒利用，比如各種IM即時通訊聊天工具漏洞、播放器漏洞、網絡電視播放軟件漏洞、甚至就連搜索工具條漏洞都 被駭客大量利用。

駭客“網頁掛馬”的方式除了入侵各種存在漏洞的網站、論壇以及博客系統，直接在入侵網站的頁面上掛馬外，最 廣泛的傳播方式是在網絡上大量散發將帶有病毒的惡意網頁鏈接，散發方式多種多樣，可以是即時聊天工具，也可以是使用特制的各 種博客或論壇的自動登陸發布系統（如各種論壇群發軟件，可自動向指定的大量論壇發指定內容的帖子），這些被廣泛傳播的惡意網 頁地址無處不在，成為互聯網上埋下的一顆顆定時炸彈。

如最新的微軟IE7 XML 0day漏洞自出現后十天之內，即被黑客廣泛用于網頁 掛馬，傳播計算機病毒。10天中，江民反病毒中心截獲了數百個利用此漏洞的惡意網頁，它們分布在165個黑客網站上，而這些作為 病毒傳播源的惡意網頁地址更是被廣泛傳播到成千上萬的網站上，數百萬電腦用戶面臨嚴重安全威脅。

三、網絡欺詐威脅急劇上升

2008年，各種名目的虛假網絡欺詐頻頻現身。其中，偽裝騰訊QQ發布虛假中獎信息的廣告尤其突出。病毒通過彈出一個偽裝的QQ 消息窗口，用戶一旦點擊了彈出窗口中的鏈接，該病毒便會打開一個偽裝的騰訊QQ網站，并顯示虛假的中獎信息，誘惑用戶點擊并進 入領獎窗口。隨后該釣魚網站會要求用戶填寫個人信息資料及輸入中獎消息上提供的驗證碼，當領獎信息全部填寫完畢后，釣魚網站 會提示用戶需要提前繳納手續費并提供一個駭客的銀行賬戶，誘騙用戶向駭客的賬戶中匯款，騙取錢財。

除了QQ之外，淘寶網旗下的 淘寶旺旺用戶也頻遭此類網絡欺詐侵害，淘寶賣家的旺旺上頻繁彈出非淘寶網鏈接，欺詐者通過“我想買這個寶貝”“這個寶貝有貨 嗎”等語言，后面跟上一個欺詐網址，使淘寶用戶誤以為是買家需要的寶貝鏈接從而去點擊，最終可能導致淘寶帳號被盜或電腦感染 病毒的嚴重后果。

四、僵尸網絡有增無減 BOT類病毒高發

2008年，江民反病毒中心監測到，上半年各種可以用來組建“僵尸網絡”的BOT類病毒高發，由于電腦感染BOT病毒后，可以接受服務 器端的遠程控制，導致許多電腦用戶不知不覺成為黑客的幫兇。2008年上半年，為了確保奧運會網絡安全，江民反病毒中心配合國家 計算機病毒處理中心集中處理BOT類病毒數千種，協助公安部門清理了多個“僵尸網絡”病毒源頭。

案例一：“僵尸網絡”危害巨大，2008年某知名門戶網站就曾經受到僵尸網絡的攻擊，導致多臺服務器無法為網民提供服務，損失巨大。

案例二：據國家計算機病毒應急處理中心介紹，2008年，山東濰坊兩家物流公司因為存在商業競爭，一公司為搶奪客戶資源雇用黑客利用DDOS 手段大面積入侵聯網電腦，致使濰坊40萬網通用戶7月份不能正常上網。6月底，畢某與曲某為了打擊競爭對手的物流公司，共同策劃 讓濰坊市這家物流園公司網絡癱瘓的手段，雇用了黑客高手朱某想辦法讓對手打不開網站。朱某是淄博人，酷愛電腦技術。因計劃與 女朋友共同買房的朱某目前尚短缺一筆不小的資金，為了湊足這筆資金，他答應幫助畢某、曲某的忙。朱某想到利用DDOS黑客程序進 行攻擊，朱某7月10日開始抓“機”（電腦），總共控制了大約5000臺“肉機”（又稱傀儡機）。

利用這些傀儡機，自7月17日開始， 朱某在家里或者網吧攻擊濰坊該物流公司的電腦主機，不想濰坊某物流公司的托管服務器正好位于網通公司，黑客攻擊連累全市40多 萬網通用戶無法正常上網。 五、病毒產業化以及互聯網化日益明顯 目前計算機病毒已經呈現出產業化特征，已經形成從“病毒作者”——“盜號團伙”——“銷售平臺”——“終端用戶”的完整產 業鏈，病毒作者不再會為惡作劇、破壞系統、干擾用戶操作這些損人不利己的事情去消耗精力，獲利已經成為黑客傳播病毒的唯一目標。

更多的病毒選擇悄悄潛伏在系統中，伺機竊取病毒作者指定的有價信息，如網游帳號密碼、虛擬裝備、Q幣、網上銀行帳號密碼 等等。制作和傳播計算機病毒已經演變為有預謀的網絡犯罪，而參與網絡犯罪的人員因為組織嚴密、分工明確，已經成為一種“網絡 黑社會”。

與現實生活中的黑勢力團伙不同，這種“網絡黑社會”是通過互聯網進行分工和指派任務的，他們通常利用臨時QQ群的形式集會， 所有活動完全通過互聯網實施，并通過互聯網銷售平臺將竊取的有價信息轉賣，整個作案過程完全實現了互聯網化。

案例：據國家計算機病毒應急處理中心介紹,2007年12月16日，“3.5”特大網上銀行盜竊案的8名主要犯罪嫌疑人全部落入法網。8名疑犯 在網上以虛擬身份聯系，糾集成伙，雖不明彼此身份，卻配合密切，分工明確，有人制作木馬病毒，有人負責收集信息，有人提現， 有人收贓，在不到一年時間里竊得人民幣300余萬元。

徐偉沖提供信息，金星通過網上購買游戲點卡，轉手倒賣給湖南長沙的“寶寶 ”，即陳娜。因信息太多，忙不過來，金星又在網上將信息倒賣給“小胖”，“小胖”再轉賣他人提現。

陸瑛娜則不停地在網上購游戲點卡，她到外地制作了兩張假身份證，在數家銀行開了賬戶，忙著到蘇州、昆山、常州等周邊地區銀行去取贓款。 2008年4月11日，無錫市濱湖區法院對一起公安部掛牌督辦的重大網絡犯罪案件作出了一審判決，被告人金星 、徐偉沖 、陸瑛娜、 方少宏因構成信用卡詐騙罪和盜竊罪，分別被判處十四年至三年不等的有期徒刑。

2008年十大高發性熱門病毒 江民反病毒中心、江民客戶服務中心、江民全球反病毒監測網、江民全國惡意網頁監測系統、江民KV病毒預警系統聯合統計，綜合 感染的用戶計算機臺數、病毒的危害性、病毒新技術、清除難易程度等因素，評出2008年度十大熱門病毒。

在江民公司2008年度截獲的所有病毒中，網游盜號類病毒最為猖獗,“網游竊賊”“網游大盜”病毒分別占據十大病毒第一、二名， 而在病毒感染計算機臺數前20名病毒中,網絡游戲盜號木馬占了10個席位,上千萬臺電腦被此類病毒感染。

“網游竊賊”病毒以壓倒 其它病毒的絕對優勢一舉成為2008年度“毒王”，而去年的“毒王”“U盤寄生蟲”則下降到第四位。

圖4

 #p#

2008年度十大計算機病毒檔案：

（1）“網游竊賊”及其變種病毒

名稱：Trojan/PSW.OnLineGames 中 文 名：網游竊賊病毒類型：木馬危險級別：★ 影響平臺：Win 9X/ME/NT/2000/XP/2003

描 述：Trojan/PSW.OnLineGames“網游竊賊”是一個盜取網絡游戲帳號的木馬程序，會在被感染計算機系統的后臺秘密監視用戶 運行的所有應用程序窗口標題，然后利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡游戲玩家的游戲帳號、游戲密碼、所在區服 、角色等級、金錢數量、倉庫密碼等信息資料，并在后臺將盜取的所有玩家信息資料發送到駭客指定的遠程服務器站點上。

致使網絡 游戲玩家的游戲帳號、裝備物品、金錢等丟失，會給游戲玩家帶去不同程度的損失。“網游竊賊”會通過在被感染計算機系統注冊 表中添加啟動項的方式，來實現木馬開機自啟動。

（2）“網游大盜”及其變種

病毒名稱：Trojan/PSW.GamePass 中文名：網游大盜病毒類型：木馬危險級別：★

影響平臺：Win 9X/ME/NT/2000/XP/2003 描 述：Trojan/PSW.GamePass“網游大盜”是一個盜取網絡游戲帳號的木馬程序，會在被感染計算機系統的后臺秘密監視用戶運 行的所有應用程序窗口標題，然后利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡游戲玩家的游戲帳號、游戲密碼、所在區服、 角色等級、金錢數量、倉庫密碼等信息資料，并在后臺將盜取的所有玩家信息資料發送到駭客指定的遠程服務器站點上。

致使網絡游 戲玩家的游戲帳號、裝備物品、金錢等丟失，會給游戲玩家帶去不同程度的損失。“網游大盜”會通過在被感染計算機系統注冊表 中添加啟動項的方式，來實現木馬開機自啟動。

（3）“代理木馬”及其變種

病毒名稱：Trojan/Agent 中 文 名：代理木馬病毒類型：木馬危險級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003 描 述：Trojan/Agent “代理木馬”是木馬家族的最新成員之一，采用高級語言編寫，并經過加殼保護處理?！按砟抉R”運行后 ，會自我復制到被感染計算機系統中的指定目錄下，修改注冊表，實現開機自啟。

在被感染計算機的后臺秘密竊取用戶所使用系統的配置信息，然后從駭客指定的遠程服務器站點下載其它惡意程序并安裝調用運行。

其中，所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門和惡意廣告程序等等，會給用戶帶去不同程度的損失。

（4）“U盤寄生蟲”及其變種

病毒名稱：Checker/Autorun 中 文 名：U盤寄生蟲 病毒類型：蠕蟲危險級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003 描 述：Checker/Autorun“U盤寄生蟲”是一個利用U盤等移動存儲設備進行自我傳播的蠕蟲病毒。“U盤寄生蟲”運行后，會自 我復制到被感染計算機系統的指定目錄下，并重新命名保存?！癠盤寄生蟲”會在被感染計算機系統中的所有磁盤根目錄下創建 “autorun.inf”文件和蠕蟲病毒主程序體，來實現用戶雙擊盤符而啟動運行“U盤寄生蟲”蠕蟲病毒主程序體的目的。

“U盤寄生蟲”還具有利用U盤、移動硬盤等移動存儲設備進行自我傳播的功能?！癠盤寄生蟲”運行時，可能會在被感染計算機系統中定時彈出惡 意廣告網頁，或是下載其它惡意程序到被感染計算機系統中并調用安裝運行，會被用戶帶去不同程度的損失。“U盤寄生蟲” 會通過 在被感染計算機系統注冊表中添加啟動項的方式，來實現蠕蟲開機自啟動。

（5）“灰鴿子”及其變種

病毒名稱：Backdoor/Huigezi 中 文 名：灰鴿子病毒類型：后門危險級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003 描 述：Backdoor/Huigezi

“灰鴿子”是后門家族的最新成員之一，采用Delphi語言編寫，并經過加殼保護處理?！盎银澴印边\行后，會自我復制到被感染計算機系統的指定目錄下，并重新命名保存（文件屬性設置為：只讀、隱藏、存檔）。

“灰鴿子”是一個 反向連接遠程控制后門程序，運行后會與駭客指定遠程服務器地址進行TCP/IP網絡通訊。中毒后的計算機會變成網絡僵尸，駭客可以 遠程任意控制被感染的計算機，還可以竊取用戶計算機里所有的機密信息資料等，會給用戶帶去不同程度的損失?！盎银澴印睍炎?身注冊為系統服務，以服務的方式來實現開機自啟動運行。“灰鴿子”主安裝程序執行完畢后，會自我刪除。

（6） “QQ大盜”及其變種

病毒名稱：Trojan/PSW.QQPass 中 文 名：QQ大盜病毒類型：木馬危險級別：★

影響平臺：Win9X/2000/XP/NT/Me 描 述：Trojan/PSW.QQPass“QQ大盜”是木馬家族的最新成員之一，采用高級語言編寫， 并經過加殼保護處理。“QQ大盜”運行 時，會在被感染計算機的后臺搜索用戶系統中有關QQ注冊表項和程序文件的信息，然后強行刪除用戶計算機中的QQ醫生程序 “QQDoctorMain.exe”、“QQDoctor.exe”和“TSVulChk.dat”文件，從而來保護自身不被查殺。

“QQ大盜”運行時，會在后臺盜取 計算機用戶的QQ帳號、QQ密碼、會員信息、ip地址、ip所屬區域等信息資料，并且會在被感染計算機后臺將竊取到的這些信息資料發 送到駭客指定的遠程服務器站點上或郵箱里，會給被感染計算機用戶帶去不同程度的損失。“QQ大盜”通過在注冊表啟動項中添加鍵 的方式，來實現開機木馬自啟動。

（7） “Flash蛀蟲”及其變種

病毒名稱：Exploit.CVE-2007-0071 中 文 名：“Flash蛀蟲”變種

病毒類型：腳本病毒危險級別：★★ 影響平臺：Win 9X/ME/NT/2000/XP/2003

描 述：Exploit.CVE-2007-0071“Flash蛀蟲”是腳本病毒家族的最新成員之一，采用Flash腳本語言和匯編語言編寫而成，并且 代碼經過加密處理，利用“Adobe Flash Player”漏洞傳播其它病毒。

“Flash蛀蟲”一般內嵌在正常網頁中，如果用戶計算機沒有 及時升級安裝“Adobe Flash Player”提供的相應的漏洞補丁，那么當用戶使用瀏覽器訪問帶有“Flash蛀蟲”的惡意網頁時，就會 在當前用戶計算機的后臺連接駭客指定站點，下載其它惡意程序并在被感染計算機上自動運行。

所下載的惡意程序一般多為木馬下載 器，然后這個木馬下載器還會下載更多的惡意程序安裝到被感染計算機的系統中，會給用戶帶去不同程度的損失。

（8） “初始頁”及其變種

病毒名稱：Trojan/StartPage 中文名：“初始頁”及其變種病毒類型：木馬危險級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003 描 述：以Trojan/StartPage.aza為例，Trojan/StartPage.aza“初始頁”變種aza是“初始頁”木馬家族中的最新成員之一，采 用“Microsoft Visual C++ 6.0”編寫，并且經過加殼保護處理。

“初始頁”變種aza運行后，會在被感染計算機系統的“% SystemRoot%\system32\”和“%SystemRoot%\system32\drivers\”目錄下分別釋放惡意DLL功能組件文件“*.dll”（文件名隨機生 成，文件大小為：45,056 字節）、惡意驅動文件“*.sys”（文件名隨機生成，文件大小為：28,608 字節）。

在被感染計算機系統 的后臺定時訪問指定的惡意廣告站點 “http://www.outhang.cn/api.php?id=%d&mac=%s&type=%d&setupdate=%d%02d%02d&homepage=%s”，提高這些惡意網站的訪問量（ 網絡排名），不僅給駭客帶來經濟利益，而且還會嚴重影響和干擾用戶的正常操作。

另外，“植木馬器”變種ps還會占用大量系統資 源，極大地降低了系統的運行速度。在被感染計算機的后臺秘密竊取用戶當前所使用的系統的配置信息，然后從駭客指定的遠程服務 器站點 “http://www.outhang.cn/update.php?id=%d&updateversion=%d”下載惡意程序并調用運行。其中，所下載的惡意程序可能為網絡 游戲盜號木馬、遠程控制后門或惡意廣告程序（流氓軟件）等，會給用戶帶來不同程度的損失。

“初始頁”變種aza釋放出來的惡意 驅動程序每次啟動后都會強行設置系統IE瀏覽器的默認啟始頁為“http://www.3929.cn/?tn=102731”(“tn=”后面的編號不唯一)。 因為該病毒為驅動級病毒，所以用戶計算機一旦感染該病毒后就極難清除干凈。

“初始頁”變種aza會通過在被感染計算機中注冊系統服務的方式，來實現木馬開機自啟動。

（9） “機器狗”及其變種

病毒名稱：Trojan/DogArp 中 文 名：機器狗

病毒類型：木馬危險級別：★★ 影響平臺：Win 9X/ME/NT/2000/XP/2003

描 述：以Trojan/DogArp. h為例，Trojan/DogArp.h“機器狗”變種h是“機器狗”木馬家族的最新成員之一，采用高級語言編寫 ，并經過加殼保護處理?！皺C器狗”變種h運行后，在指定目錄下釋放惡意驅動程序并加載運行。

通過惡意驅動程序直接掛接磁盤IO 端口進行讀寫真實磁盤物理地址中的數據和進行監控關機行為等操作，從而達到穿透還原軟件的目的。覆蓋“explorer.exe”、 “userinit.exe”或“regedit.exe”等系統文件，實現“機器狗”變種h開機自啟動。惡意驅動程序還能還原系統“SSDT”，致使某 些安全軟件的防御和監控功能失效。

惡意破壞注冊表，致使注冊表編輯器無法運行。遍歷當前計算機系統中的進程列表，一旦發現與 安全相關的進程，強行將其關閉。修改注冊表，利用進程映像劫持功能禁止近百種安全軟件及調試工具運行。在被感染計算機系統的 后臺連接駭客指定站點獲取惡意程序列表，下載列表中的所有惡意程序并在被感染計算機上自動調用運行。其中，所下載的惡意程序 可能是網游木馬、廣告程序（流氓軟件）、后門等，給被感染計算機用戶帶去不同程度的損失。

（10） “RPCSS毒手”及其變種

病毒名稱：Win32/Infectrpcss 中 文 名：“RPCSS毒手”及其變種

病毒類型：木馬危險級別：★★ 影響平臺：Win 9X/ME/NT/2000/XP/2003

描 述：以Win32/Infectrpcss.a為例，Win32/Infectrpcss.a“RPCSS毒手”變種a是“RPCSS毒手”木馬家族中的最新成員之一， 采用高級語言編寫，并且經過加殼保護處理。

該病毒是由其它惡意程序釋放出來的DLL功能組件文件，一般會被插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系統進程，以及幾乎所有用戶級權限的進程中加載運行，并在被感染計算機系統的后臺執行惡意操作，隱藏自我，防止被用戶發現、被安全軟件查殺。

“RPCSS毒手”變種a運行后，會自我復制到被感染計算機 系統的“%SystemRoot%\system32\”目錄下，重新命名為“csrss.dll”，釋放病毒組件文件“sh01008.dll”（文件大?。?1,504 字節）到“%SystemRoot%\system32\”目錄下。

“RPCSS毒手”變種a是一個專門盜取“完美世界Online”、“誅仙Online”等網絡游 戲會員賬號的木馬程序，會在被感染計算機的后臺秘密監視用戶系統中所運行著的所有應用程序窗口標題，然后利用鍵盤鉤子、內存 截取或封包截取等技術盜取網絡游戲玩家的游戲賬號、游戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息，并在后臺將竊取到的玩家機密信息發送到駭客指定的遠程服務器站點上（地址加密存放），致使網絡游戲玩家的游戲賬號、裝備、物品、金錢等丟失，給游戲玩家帶來不同程度的損失。同時，“RPCSS毒手”變種a還具有竊取玩家游戲賬號密碼保護的功能。

因此，當游戲玩家發現 自己的游戲賬號被盜時，請千萬不要在當前被感染的計算機上登陸該網絡游戲的官方網站去找回游戲密碼，否則會連同您的密碼保護 資料一同被駭客盜取，給您帶來更大程度的損失。

利用域名映像劫持功能，在被感染計算機的后臺強行篡改系統中的Hosts文件，屏蔽某些網絡游戲站點，阻止用戶對這些網絡游戲網站的訪問，從而達到用戶丟失賬號后無法馬上取回密碼的目的?！癛PCSS毒手”變 種a利用進程守護功能來實現自我保護。

該病毒會通過替換系統“rpcss.dll”文件來實現開機自啟動。如果安全軟件直接刪除掉帶毒 文件“rpcss.dll”的話，會導致被感染計算機無法連接網絡、系統復制(粘貼)功能失效、桌面程序“explorer.exe”啟動緩慢等后 果，嚴重影響用戶對計算機系統的正常使用。

【編輯推薦】

1. 金山08中國互聯網安全報告:病毒木馬爆增 云安全勢在必行
2. 要聞回顧：系統補丁少應用補丁多 硬件爆洞蠕蟲逞兇
3. 吃獨食搶地盤 “犇?！毙伦兎N有如網上黑社會