中国计算机反病毒20年重要计算机病毒

    2004年5月1日，人们正沉浸在五一长假的快乐当中，震荡波病毒开始发难，其攻击手段与冲击波如出一辙，仍然是利用微软操作系统漏洞以及开放的端口从内存到内存对连在网上的电脑进行攻击的，一时，反病毒公司的热线电脑响声四起，反映自己奔四电脑比586还慢，上不了网、频繁重启的求助电话一个接着一个，“震荡波”病毒在短短12天时间内，即接连出现6个变种，感染了全球约1800万台电脑，损失高达5亿美元。

    4月13日到4月29日，江民反病毒专家们刚刚截获并消灭了专偷网上银行资金的病毒“网银大盗”病毒，5月1日，国家计算机病毒应急中心发现，一种利用微软操作系统漏洞的蠕虫病毒正在对互联网发起攻击，并陆续接到江苏、宁夏、北京、黑龙江、辽宁和广东等地区用户报告。凭着与计算机病毒多年的实战经验，专家们认为这个病毒潜在的危害巨大，病毒利用的是Windows LSASS的一个已知漏洞(MS04-011)，被攻击的计算机会出现系统频繁重启的现象，与去年大面积爆发的冲击波病毒危害十分相似。反病毒专家们担心的是，虽然去年4月份微软就发布了这个漏洞补丁，但我国仍有相当部分用户没有打上这个漏洞补丁。

    当日，国家计算机病毒应急处理中心紧急与以江民为首的我国反病毒通道厂商联系，要求反病毒厂商紧急升级杀毒软件病毒库。江民国内率先响应了国家应急中心的指示，以最快速度升级了KV系列杀毒软件病毒库，并在江民反病毒资讯网发布了病毒技术分析报告以及相关解决方案。

    网银大盗 网上银行大劫难

    2003年4月21日，一条平时不为人关注的计算机病毒新闻登上了京城各大报刊的头版，江民反病毒专家发布消息称，他们截获一种专门盗取某网上银行用户名和密码的木马病毒，这种病毒会在用户计算机中创建可执行文件与挂钩和发信模块文件，并修改注册表，病毒在系统启动时即可运行。病毒主程序开启2个计时器，计时器1每隔3秒钟检查是否有常用反病毒和防火墙软件运行，一旦发现则立即终止这些进程，同时还自动回写病毒注册表项和病毒文件。计时器2每隔0.5秒搜索用户的IE窗口，如果发现用户正在"某网上银行"的登录界面，则尝试窃取注册卡号和密码。一旦成功，就把窃取到的信息保存到共享内存中，电脑与网络再次连通后，木马就会把共享内存中保存的用户帐号和密码通过电子邮件发送给病毒作者。

    “网银大盗”系一种间谍软件，属于木马类病毒，该病毒利用某网上银行系统漏洞，偷取网上银行用户银行卡号和密码，并自动发送给病毒作者。截止犯罪嫌疑人被捕时，该犯罪团伙已成功窃取资金4.8万元 。在江民及某网上银行技术人员的努力下，该病毒于4月中旬即被查杀，某网上银行也已经进行了紧急技术升级，堵上了这个漏洞，避免了一场即将发生的网上银行浩劫，保护了某网上银行用户上千亿万资金安全。

   证券大盗

    2004年11月25日，江民反病毒中心截获“证券大盗”木马病毒（Trojan/PSW.Soufan）。该木马可以盗取多家证券交易系统的交易账号和密码，被盗号的股民帐户存在被人恶意操纵的可能。

    据江民反病毒专家介绍，病毒运行后，自动监控一些特定的金融证券网站页面，当病毒监测到包含多家券商名称的网站标题窗口时，就开始使用键盘钩子程序自动记录用户登陆信息，包括用户名和密码，同时，病毒还通过屏幕快照将用户登陆时窗口画面保存为图片，在记录达到一定次数后，将记录的信息和图片通过电子邮件发送给病毒作者。

    江民反病毒专家何公道认为，该病毒可能造成的危害在于，黑客可以恶意操纵被盗的股票，将某高价股票高买低卖，然后使用自己的账户将同一股票低买高卖，赚取中间的差价，给被盗股民带来巨大的损失。更为狡猾的是，“证券大盗”病毒每次运行后即“自杀”，并删除自身在系统中留下的文件，达到消毁“罪证”的目的，“作案”手段十分隐蔽。

    令人吃惊的是，2006年5月14日，新华社报道，据公安部门侦察，截止到犯罪嫌疑人被捕时，证券大盗病毒作者已利用“证券大盗”病毒程序，在不到2个月时间里，截获股民股票账户、密码，盗买、盗卖股票价值1141.17万元，非法获利38.6万元。5月9日下午，南昌市中级人民法院一审以盗窃罪判处主犯张勇无期徒刑，从犯王浩、邹亮分别被判13年和12年有期徒刑。证券大盗给人们留下深深的思考！

    敲诈者

    2006年6月11日，国内首例旨在敲诈被感染用户钱财的木马病毒被江民公司反病毒中心率先截获。该病毒名为“敲诈者”(Trojan/Agent.bq)，病毒可恶意隐藏用户文档，并借修复数据之名向用户索取钱财。 “敲诈者”给中毒的电脑用户带来了巨大麻烦。山东某公司财务部电脑感染了“敲诈者”，导致财务报表莫名失踪，用户不得已紧急飞往北京寻求数据恢复。广州某从事鞋业国际贸易的网友因感染该病毒，导致一笔巨额外贸订单丢失，白白损失数十万元。而唐山某银行的用户也因为感染了敲诈者，导致单位工资报表被隐藏，一时难以恢复。“敲诈者”病毒可谓作恶多端，一时网上人人喊打，被病毒侵害丢失巨额外贸订单的网友“大叔”甚至极端地在网上发帖，称要悬赏十万严惩名为“欧阳俊曦”的病毒作者。

    据国内率先截获“敲诈者”病毒的江民科技反病毒工程师介绍，仅江民反病毒中心已接到110余例用户中毒求助报告，而全国估计至少有数千人感染该病毒，目前该反病毒中心已截获该病毒的7个变种。新华社6月19日报道，经过病毒留下的线索和技术分析，江民反病毒工程师锁定了一网名为“俊曦”的人，怀疑此人即为“敲诈者”病毒的作者。据“俊曦”在MSN上留言，他传播病毒不过是为了“买点面包充饥”。“俊曦”自称是有着二十年编程经验的程序员，以前沉溺于技术赚钱不多得不到周围人承认，现在感觉“经常用左腿走路累，突然换右脚感觉快多了”，暗示编写程序不如编写病毒赚钱。他还透露将掀起“更大的风暴”。 另据介绍，病毒作者还透露“敲诈者”病毒是2006年6月6日制作完成并传播的，而这一天恰好是西方国家的魔鬼日，病毒作者对此颇为自得，自称事前并无预谋，如此巧合“似有神助”。

    “敲诈者”病毒案例引起了公安部及广东省公安厅领导的高度重视，广州警方成立了专案组，迅速锁定了病毒制造者欧阳某，并于7月3日晚9时许，在广州白云区某小区内将犯罪嫌疑人抓获，当场查获作案工具计算机2台以及手机卡和银行卡一批。从案发到侦破仅用了19天时间。

    熊猫烧香

    2006与2007年岁交替之际，一名为“熊猫烧香”的计算机病毒在互联网上掀起轩然大波。从去年12月首次出现至今，短短一个多月，病毒已迅速在全国蔓延，受害用户至少上百万，计算机反病毒公司的热线电话关于该病毒的咨询和求助一直不断，互联网上到处是受害者无奈的求助、怨恨、咒骂，电脑里到处是熊猫烧香的图标，重要文件被破坏，局域网彻底瘫痪，病毒造成的损失无法估量。

    1月18日，国内最大的计算机反病毒厂商江民科技监测到，“威金”病毒新变种“熊猫烧香”仍在疯狂传播，上演着最后的疯狂。江民科技监测发现，近阶段该病毒的传播手段更是无所不用其及，继一些IT专业门户及资讯网站成为病毒帮凶后，一家普及率非常高的影音播放软件网站也感染了该病毒，用户点击网页即可中毒。“熊猫烧香”不但可以终止大量的杀毒软件和防火墙程序，而且还禁止用户使用GHOST恢复系统，通过U盘、共享文件夹、系统默认共享、IE漏洞、QQ漏洞、系统弱口令等等多种途径传播，局域网中一台机器感染，可以瞬间传遍整个网络。

    江民反病毒专家介绍，导致病毒快速传播目前存在三大原因。一个大量的企业用户使用国外杀毒软件，而国外杀毒软件对于此类国产病毒响应速度特别慢。二是一部分网站编辑或网站管理人员本身机器感染了病毒，由于病毒能够修改HTML文件，当他们把受感染文件上传到服务器后，访问者点击此类受感染网页即中毒。三是病毒综合利用了多种漏洞和传播途径，如利用微软MS06-014漏洞感染HTML文件，通过QQ最新漏洞传播自身，通过网络文件共享、默认共享、系统弱口令、U盘及移动硬盘等多种途径传播。

    磁碟机

    近日，越来越多的企业用户向江民反病毒中心求助，称他们的企业网络正在遭受病毒侵袭，电脑运行缓慢，出现系统蓝屏、死机等现象，可执行文件被病毒感染，整个网络安全面临严重的病毒威胁。

    江民反病毒工程师经提取病毒样本分析后认为，多数企业都遭受了同一病毒“千足虫”（又名磁碟机）病毒侵害。千足虫（磁碟机）早在去年就被江民反病毒中心截获，近期频繁变种，大有卷土重来之势。“磁碟机”病毒能够利用多种手段终止杀毒软件运行，并可导致被感染计算机系统出现蓝屏、死机等现象，严重危害被感染计算机的系统和数据安全。与其它关闭杀毒软件的病毒不同的是，该病毒利用了多达六种强制关闭杀毒软件和干扰用户查杀的反攻手段，许多自身保护能力不够强壮的杀毒软件在病毒面前纷纷被折。

    江民反毒专家何公道认为，磁碟机病毒是近几年以来发现的病毒技术含量最高、破坏性最强的病毒，其破坏能力、自我保护和反杀毒软件能力均十倍于“熊猫烧香”。磁碟机病毒的发作标志着计算机病毒进入了驱动病毒时代。

计算机病毒从2006年开始，又有了重大的发展。病毒的目标已经从以前的炫耀技术彻底转向经济利益，网络上流行的病毒大都是盗号窃密的木马病毒，而病毒技术也日新月异，病毒通过Rootkit技术和映象劫持技术隐藏自身的进程、注册表键值，通过插入进程、线程避免被杀毒软件查杀，通过实时监测对自身进程进行回写，避免被杀毒软件查杀，通过还原系统SSDT HOOK和还原其它内核HOOK技术破坏反病毒软件，其中仅映象劫持技术就包括“进程映像劫持”、“磁盘映像劫持”、“域名映像劫持”、“系统DLL动态连接库映像劫持”等多种方式。目前几乎所有的盗取网络游戏帐号的木马病毒都具备了以上一种以上的技术特征，几乎所有最新的程序应用技术都被病毒一一应用，电脑一旦感染病毒，普通用户根本无能力彻底清除，只能求助专业技术人员。未来的计算机病毒将综合利用以上新技术，使得杀毒软件查杀难度更大。

伴随着互联网的高速发展，病毒也进入了愈加猖狂和泛滥的新阶段，并呈现出了以下几个特征：

1、病毒的种类和数量在迅速增长：

江民公司2008年1月2日发布的《2007年度病毒疫情报告》中显示表明：截止到2007年底，江民反病毒中心共截获新病毒总数为36万3000余种，较06年增长501%。截止到2007年12月份，病毒累计感染计算机 3441万4793 台，其中78%以上的病毒为木马、后门。而仅2008年上半年，江民反病毒中心共截获新病毒206439种,1至6月全国共有9871681台计算机感染了病毒。目前江民反病毒中心日处理病毒数量达到最高达到上万种。

2、传播手段越来越广泛：

木马、病毒通过移动存储设备、网页挂马、网址欺骗、视频文件传播、部分知名软件的漏洞等进行疯狂传播。

3、病毒的技术水平越来越高：

病毒制造者不断更新着病毒的制造技术，不断推出病毒的新变种，利用新的技术手段隐藏自身进程，通过加壳和免杀技术终止杀毒软件的运行，逃避杀毒软件对于病毒的查杀，达到传播有害程序、破坏数据文件、非法窃取利益的目的。更值得关注的是，进入2008年以来，大部分主流病毒技术都进入了驱动级，开始与杀毒软件争抢系统驱动的控制权，从而控制杀毒软件，致使杀毒软件功能失效。

 4、病毒的危害越来越大：

更多的木马和病毒破坏电脑系统、造成死机、蓝屏、数据丢失、窃取用户帐号密码等，给用户造成巨大的损失和破坏。熊猫烧香、机器狗、ARP病毒、磁碟机这些病毒迅速在互联网上疯狂传播，被感染的计算机数量急速增长，严重影响着个人用户和企业用户的信息安全。

    二十年来，从DOS病毒到Windows病毒，从单台电脑之间传播到到网络传播，转播载体从软盘到光盘再到现在的移动存储，反病毒与病毒的较量从来没有停止过，江民反病毒专家们随时都处于备战状态。反病毒在明处，病毒在暗处，没有人可以预知下一个病毒会在什么时候出现，而反病毒工作者的责职及使命所在就是：消灭每一个病毒在萌芽状态，防止其进一步的传播和爆发，让更多的电脑用户能够安全、愉快地使用互联网。