灰鸽子病毒

1/9

中国大陆地区上半年度电脑病毒疫情和互联网安全报告

本报告所有数据和资料全部来源于瑞星全球反病毒监测网、全国病毒疫情监测网、瑞星客户

服务中心、瑞星新病毒快速反应小组等部门。本报告所有观点和结论均由瑞星公司独立发布，

和其它政府机构、合作伙伴无关，其中可能包含某些片面或者不完善的数据和结论，请各个

机构、媒体、厂商谨慎使用，若由此引起纠纷和损失，瑞星不承担任何责任。

上半年度，中国大陆地区电脑病毒疫情和互联网安全状况主要呈现六大新特点：一、新

病毒数量成爆炸式增长；二、商业公司大肆“流氓推广”、“流氓软件”问题仍严重；三、病毒

“偷、骗、抢”等行为愈演愈烈，勒索木马开始流行；四、病毒传播手段多元化，网站、盘等

成为新渠道；五、应用软件漏洞受黑客亲睐；六、概念型病毒呈现跨平台趋势。矚慫润厲钐瘗

睞枥庑赖賃軔。

一、新病毒数量成爆炸式增长

据瑞星全球反病毒监测网统计数据显示，新病毒的数量正在逐年递增，并且增长速度越来越

快。

年上半年，瑞星截获新病毒个，年同期，新病毒数为个，而今年上半年，新截获的病毒数量

飙升到了个，相当于过去几年截获病毒数量的总和。在今年病毒较为泛滥的时期，一天内截

获的新病毒比年一个月截获的病毒还要多。聞創沟燴鐺險爱氇谴净祸測。

尽管新截获的病毒数量呈爆炸性增长，但其种类数并没有增加。老病毒的新变种占据了大部

分。有时，在一天内就能够截获同一病毒的数十个不同变种。残骛楼諍锩瀨濟溆塹籟婭骒。

对上半年截获的新病毒分析统计，其组成部分与年基本类似，灰鸽子后门、盗号木马、波特

类后门等病毒的变种仍然占到了绝大部分。造成变种病毒数量激增的原因主要有两个：酽锕

极額閉镇桧猪訣锥顧荭。

、“加壳”手段被黑客广泛利用

所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进

行改变（目前还有一些加壳软件可以压缩、加密驱动程序），以达到缩小文件体积或加密程

序编码的目的。“加壳”就像给病毒文件穿了“马甲”，对于识别能力不强的杀毒软件就会被这

件“马甲”蒙蔽，而放过病毒。彈贸摄尔霁毙攬砖卤庑诒尔。

当被加壳的程序运行时，外壳程序先被执行，然后由这个外壳程序负责将用户原有的程

序在内存中解压缩，并把控制权交还给脱壳后的真正程序。一切操作自动完成，用户不知道

也无需知道壳程序是如何运行的。一般情况下，加壳程序和未加壳程序的运行结果是一样的。

謀荞抟箧飆鐸怼类蒋薔點鉍。

2/9

众所周知，目前杀毒软件主要依靠特征码技术查杀病毒。由于加壳软件会对源文件进行压缩、

变形，使加密前后的特征码完全不同。对于脱壳能力不强的杀毒软件，对付此种病毒就需要

添加多条不同的特征记录。而如果黑客再采用一种新的壳进行加密变形，则对于此类杀毒软

件来说又是一个新的病毒，从而无法查杀。厦礴恳蹒骈時盡继價骚卺癩。

从上半年瑞星截获的病毒样本统计，约有％以上的病毒文件进行过“加壳”处理。而国内较为

流行的“灰鸽子”木马，加壳率几乎达到％。有些病毒为了躲避杀毒软件的查杀，甚至加了三、

四层壳。茕桢广鳓鯡选块网羈泪镀齐。

、“免杀”技术开始被采用

所谓“免杀”，是指通过特殊技术处理，修改病毒文件，使已知病毒逃过杀毒软件的查杀。

目前，杀毒软件大多采用特征码技术进行查毒，当发现被扫描的文件中包含有杀毒软件病毒

库中的特征时就会报告相应的病毒名称。目前，许多黑客和病毒制造者通过查找病毒文件中

被杀毒软件扫描的特征部分，加以修改，使其特征值与杀毒软件的病毒库不匹配，从而躲过

杀毒软件的查杀。鹅娅尽損鹌惨歷茏鴛賴縈诘。

以上两点是年上半年病毒、木马所广泛采用的技术手段。“魔高一尺，道高一丈”，各个反病

毒厂商也在针对病毒的新特点进行着不懈的努力。籟丛妈羥为贍偾蛏练淨槠挞。

增强杀毒软件引擎的“脱壳”能力

由于目前大多数病毒都会采用“加壳”的手段进行自我保护，因此需要杀毒软件具有“脱壳”

能力。脱壳引擎通过一些算法将“加壳加密”的病毒还原成原始状态，再对其原始状态进行查

毒。預頌圣鉉儐歲龈讶骅籴買闥。

瑞星一直在“脱壳”技术上进行着不懈努力，经过长时间的技术积累，目前瑞星杀毒软件

新的杀毒引擎已经进入到公测阶段，该引擎同时具备硬脱壳和虚拟脱壳的能力，支持目前常

见的所有流行的壳程序，并且能够对加了多层壳的病毒进行查杀。渗釤呛俨匀谔鱉调硯錦鋇絨。

和“变种共性特征比对”技术将被大量采用

技术是广谱查毒技术的一种，其主要是针对变种病毒的查杀。有时用杀毒软件扫描病毒时会

报出以“”作为结尾的名称，如“”，就是使用了这一技术。病毒分析工程师通过对大量病毒样

本特征进行分析，提取出它们之间相同的特征值，从而对一个群族的病毒进行查杀。铙誅卧

3/9

泻噦圣骋贶頂廡缝勵。

“变种共性特征比对”技术是瑞星独家研发的一种新的广谱查毒技术，它与技术存在相似之

处，也是对大量病毒样本进行特征分析，提取相同的特征。但是“变种共性特征比对”具有更

强的抗“免杀”能力和智能判断能力。往往，黑客用技术手段能够绕开技术的查杀，却不能逃

脱“变种共性特征比对”技术的检测。同时“变种共性特征比对”还可以报告出病毒变种与该病

毒家族的相似程度，查毒结果更为精确。目前，“变种共性特征比对”技术已经全面应用于“瑞

星听诊器版”及以上版本当中，对“灰鸽子（）”等木马的变种识别率能够达到九成以上。擁

締凤袜备訊顎轮烂蔷報赢。

、“虚拟机技术”将在成为检测未知病毒的主要手段

无论病毒文件如何修改，其病毒的破坏行为都是不变的。“虚拟机技术”是指用软件模拟出一

个虚拟机的计算机（包含虚拟的、内存、硬盘等），让被检测的文件在虚拟机中执行，对病

毒在虚拟机中的行为进行判断，一旦发现符合病毒的特征就给予告警。贓熱俣阃歲匱阊邺镓騷鯛

汉。

目前，真正采用虚拟机技术进行病毒查杀的软件全世界只有为数不多的几家。瑞星早在

几年前就已经开始对虚拟机技术的研究，并已将该技术运用到产品当中。而具有虚拟程度更

高，更加智能化的虚拟机系统也在研发当中。坛摶乡囂忏蒌鍥铃氈淚跻馱。

二、商业公司大肆“流氓推广”“流氓软件”问题仍严重

今年月初，许多的用户都遇到被陌生人恶意添加为好友的情况，被添加之后对方并不与

自己聊天，而是发送一段网址或是广告，根据有关媒体调查，以上的用户都被一家名为“中

国缘”的网站骚扰过，该网站面对媒体的不断暴光依然我行我素，继续采用添加好友发广告

的方式推广。蜡變黲癟報伥铉锚鈰赘籜葦。

4/9

微软的开放应用程序接口（）为这些公司进行“流氓推广”提供了方便。它们通过一些渠

道获取到大量的用户账号名，并架设“机器人”服务器。由“机器人”自动把这些用户加为好友，

发送广告信息。買鲷鴯譖昙膚遙闫撷凄届嬌。

由于此类推广方式是以“机器人”服务器的方式实现，不同于以往自动发广告消息的“、

尾巴类病毒”，因此无法使用安全产品进行防护。为此，瑞星提出三点防范建议：綾镝鯛駕櫬

鹕踪韦辚糴飙钪。

.妥善保管自己的个人信息，尽量避免公开自己的电子邮件地址和账号。

.当被陌生人要求添加为好友时，需谨慎接受。必要时可先通过其它方式确认。

.通过进行交谈时，不要轻易点击对方发送的链接，或接受传送的文件，须先向对方确认。

同时，瑞星呼吁有关部门能够及时制定相应的法律法规，对此种骚扰用户强制推广的方式加

以制止。

鉴于该种推广方式可以在短期内获得成效，并且成本很低，未来也很有可能会有一些大型的

企业、公司编写病毒、流氓软件等进行广告推广。驅踬髏彦浃绥譎饴憂锦諑琼。

此外，年上半年“流氓软件”问题仍然严重。据瑞星病毒疫情监测网统计结果显示，从月

到月感染机器台数最多的并不是病毒，而是流氓软件。上半年出现了几个比较恶劣的流氓软

件，均是由正规厂商制作。这些软件运行后会定期或随机地释放（或从互联网下载）广告程

序、其它的下载器。这些广告程序或下载器带有明显的木马特征，流氓软件和病毒之间的界

限已经越来越模糊。猫虿驢绘燈鮒诛髅貺庑献鵬。

三、病毒“偷、骗、抢”等行为愈演愈烈，勒索木马开始流行

目前，黑客已经变得越来越贪婪。病毒编写者不再单纯炫耀技术，获取经济利益几乎成

为他们编写病毒的唯一目的，“偷”、“抢”、“骗”已经成为目前计算机病毒的主要特征。锹籁

饗迳琐筆襖鸥娅薔嗚訝。

“偷”

从年开始，盗号木马已经成为主流。进入年后，这一趋势更加明显。根据瑞星全球反病毒监

测网统计显示，上半年具有盗取用户密码等隐私信息特征的病毒共个，占到总病毒数量的％。

構氽頑黉碩饨荠龈话骛門戲。

这些盗号木马在后台运行，没有任何提示信息，一般用户根本察觉不到机器已经中毒。

5/9

它们偷偷记录用户的输入信息，比如密码、网络游戏账号、网上银行卡账号等，并将这些信

息直接发送到黑客手中，给用户带来直接经济损失。輒峄陽檉簖疖網儂號泶蛴镧。

、“抢”

上半年出现了几个新形式的木马病毒值得我们关注。它们与躲在后台悄悄“盗取”用户隐私信

息的木马不同，这些新的木马病毒会赤裸裸的对用户进行直接威胁勒索。如果把传统的盗号

木马比喻成“小偷”，则这种新形式的木马就是“强盗”。此类软件也被称之为“勒索软件（）”

或“勒索病毒”。尧侧閆繭絳闕绚勵蜆贅瀝纰。

通常“勒索病毒”会将用户的重要文件加密或者隐藏，并明确要求用户支付费用来换回重

要的文件。

年月，瑞星截获的“代理木马变种（）”病毒就是一个典型的勒索病毒，它要求用户支付

美元来重新获取自己加密文件的访问权。其后截获的“然森（）”病毒会要求用户通过西联汇

款（）向黑客支付美元，否则将每隔分钟删除一个文件，直至收到付款。而一种在俄罗斯

地区传播较广的“编码（）”病毒更是采用了位及位高强度的加密运算法则对用户的重要文

件进行加密，并进行勒索。遭受该病毒攻击的用户必须在专业的信息安全厂商的帮助下才能

找回“丢失”的文件。识饒鎂錕缢灩筧嚌俨淒侬减。

月日，我国出现了首个大规模传播的勒索病毒－进程杀手变种（）。该木马病毒运行后会

将用户的文档、表格文件以及和压缩包等重要的文件隐藏。同时会在桌面上建立一个名为“拯

救硬盘”的文件，内容大致为：“你的硬盘资料丢失了，是因为手机的强电磁流影响了硬盘的

正常读写，你必须使用磁盘修复工具拯救找回丢失的资料文件，但是，你正在使用的不是正

版软件，是盗版，你必须拯救修复丢失的资料，并且尽快购买正版的软件…”。该病毒还会

在开始菜单的“附件”组中生成名为“修复硬盘资料”的快捷方式。用户运行“修复硬盘资料”程

序（恶意程序）后，会提示用户必须向一个帐号汇款才能找回硬盘数据。凍鈹鋨劳臘锴痫婦胫籴

铍賄。

、“骗”

“网络钓鱼”式欺骗手段越来越多地被黑客所利用。年已经出现了黑客利用欺骗性的电子邮件

和伪造的站点来进行诈骗活动，诱骗用户将自己的个人信息和财务数据，包括如真实信息、

联系方式、银行卡帐户等泄露给黑客。恥諤銪灭萦欢煬鞏鹜錦聰櫻。

在年上半年，欺骗手段进一步升级。黑客不光利用电子邮件和网站进行诈骗，具有“网

6/9

络钓鱼”性质的病毒也开始出现。鯊腎鑰诎褳鉀沩懼統庫摇饬。

月日，瑞星全球反病毒监测网截获两个窃取用户密码的木马病毒，并分别命名为“窃密

者变种()”病毒。这两个病毒专门针对北京用户编写，分别冒充北京网通和北京电信的密码

自服务网页。当用户上网时，该病毒会自动弹出假页面，诱骗用户填写自己的密码。硕癘鄴

颃诌攆檸攜驤蔹鸶胶。

月日，一个假冒工行网站个人银行系统的木马病毒被截获。当用户登陆工行网上银行个

人银行时，会自动弹出窗口提示“为了给您提供更加优良的电子银行服务，月日我行对电子

银行系统进行了升级。请您务必修改以上信息”诱骗用户输入自己的银行卡密码。随后这些

银行卡账号和密码将被自动发送给黑客。阌擻輳嬪諫迁择楨秘騖輛埙。

四、病毒传播手段多元化，网站、盘等成为新渠道

年上半年统计的数据显示，虽然仍有一些老牌的邮件蠕虫存在，但通过电子邮件进行传播的

病毒数量已经呈现下降趋势，黑客们越来越多的通过网站对用户进行攻击。此外，利用多种

传播手段进行传播以及通过盘进行传播已经成为病毒发展的新趋势。氬嚕躑竄贸恳彈瀘颔澩纷釓。

随着互联网的不断普及，建立网站、论坛已经变得非常流行，而这些网站由于没有很好

的安全保护措施，常常是黑客们用来传播病毒的最有利的工具。黑客利用这些网站的漏洞，

“黑”掉这些网站，并在这些网站上放置木马病毒（即通常说的“挂马”）。用户登陆这些含有

木马病毒的网站就会被病毒感染。釷鹆資贏車贖孙滅獅赘慶獷。

被黑客“光顾”的网站有论坛、博客、在线商城、在线书店、报社站点甚至是一些大型的

门户网站。仅年、两月，瑞星全球反病毒监测网检测到被黑客攻击“挂马”的网站就多达十个。

怂阐譜鯪迳導嘯畫長凉馴鸨。

今年月日，一个名为“威金蠕虫变种()”的蠕虫病毒被瑞星病毒疫情监测网截获。它是采

用多种手段的进行传播的典型病毒之一，同时具有文件型病毒、蠕虫病毒、病毒下载器等类

病毒的特点，进入用户的电脑之后，它会从网上疯狂下载多个木马、尾巴等安装在中毒电脑

中，窃取用户的网络游戏密码，严重时造成系统完全崩溃。谚辞調担鈧谄动禪泻類谨觋。

正是由于该病毒的这种特点，它比靠单一手段传播的病毒的传播速度要快得多，短短一