江民:反病毒第一人点评05病毒与反病毒

　　继去年12月份江民科技发布《2005年度中国大陆地区计算机病毒疫情报告》后，近日，我国计算机反病毒第一人——北京江民科技董事长王江民先生对我国2005年计算机病毒及反病毒情况进行了综合点评。2005病毒与反病，平静表面下的“暗涛汹涌”王江民认为，2005年中国网络安全形势总的来讲还是比较平静的，没有发生大规模的信息安全事件，国家骨干网络也没有受到类似“冲击波”，“震荡波”等大型网络蠕虫的破坏与侵袭，是一个“相对平静”的一年。然而，这种平静只是表面的，隐藏在平静表面下的网络世界可以用“暗涛汹涌”这个词来形容。2005年，江民反病毒研究中心截获的病毒中，76%为木马和后门程序，此类病毒已经不以引发大规模网络瘫痪为目的，而是将矛头直接对准经济利益。网上出售各种新型木马病毒的信息比比皆是，有些人则干脆出售“木马生成器”，以便通过频繁变种逃避反病毒软件的查杀。与蠕虫病毒大范围攻击不同，木马传播和攻击的目标更精确，木马作者通过小范围、多频次的攻击达到其窃取机密信息从而非法牟取利益的目的，其危害较大范围的蠕虫攻击有过之而无不及，但是却能避免受反病毒厂商和网络安全警察的注意。此外，针对QQ、MSN等即时通信工具的病毒在2005年达到了有史以来数量最多的一年，截止到2006年1月19日，江民计算机病毒预警平台统计数字显示，当日十大病毒中，“QQ蜜”病毒位居十大病毒之首，而该病毒的其它三个变种也位居十大病毒之列，其严重程度可见一斑。僵尸网络案件频发，引发国家高度重视从2005年初国家破获第一起通过僵尸网络进行破坏的案件起，“僵尸网络”（Rbot） 的问题开始引起国家有关部门高度重视。“僵尸网络”正在取代传统的网络蠕虫（I-Worm）成为盗取用户信息，发送垃圾邮件，进行DDos拒绝服务攻击的一个重要手段。甚至还有黑客对自己拥有的僵尸网络明码标价,以此来作为进行破坏或者获取一定的经济利益的条件和基础。据我国国家计算机网络应急技术处理协调中心发布的报告显示，自今年6月份以来，僵尸网络数量呈上升趋势。其中，从6月3日至9月19日，发现较大规模僵尸网络59个，平均每天发现3万个僵尸网络客户端，特别是在今年8月19日到9月19日期间，他们监控发现了一个客户端规模超过15万的大型僵尸网络。江民反病毒研究中心今年截获的众多的Bot类蠕虫病毒。此类病毒一般都是黑客或者黑客组织恶意传播的，目的就是构建属于自己的僵尸网络。木马横行，“网站挂马”成为2005病毒传播新途径2005年木马不论从传播的数量还是造成的危害来讲，都达到一个新的高度。虽然木马危害不足以导致系统大面积的瘫痪等症状，但是对于网民个体来说，他们时刻面临这些木马的危险，隐私信息如网上银行账号、网上证券交易号等时有被盗。由于客户过于分散，同时涉及的金额不是非常大，因此给主管机关的调查取证，立案侦破等都造成了一定的困难，而这些正是那些传播木马者愿意看到的事实。2005年，江民反病毒研究中心监测到，多家知名网站被黑客攻击，在首页或其它页面种植木马病毒。此类病毒通过IE浏览器的特定漏洞传播，只需用户点击含有恶意代码的网页，病毒就会从后台悄悄下载到本地。例如，2005年9月22日，江民公司反病毒中心监测到，某门户地方站上某页面种植了病毒。该页面显示赠送手机、Q币等虚假信息，诱使用户输入QQ号和密码。后台悄悄下载3种病毒程序：QQ欺骗木马（Trojan/QQMsg.Shuangq）、QQ大盗（Trojan/PSW.QQRobber.16.be）和灰鸽子后门（Backdoor/Huigezi.adp）。2005年10月14日，江民公司反病毒中心监测到，某知名跨国公司网站首页包含恶意代码，如果用户的IE浏览器存在HHCTRL漏洞，访问该页面即会感染PcShare后门病毒。一些地方热线、知名媒体网站、甚至流量很大的网址导航网站以及一些IT专业网站，都发生过被种植木马的事件。此外，某知名媒体网站也曾被黑客攻击并在首页挂上木马。比较典型的还有，2005年12月15日，访问计数统计网51.la被黑客攻破挂上木马，某专业杀毒厂商官方网站引用该网站代码，导致只要用户点击该杀毒网站就会感染病毒的事件，让用户不可思义的是，针对这个不算新的病毒，该公司技术人员和产品竟然都无任何反应，直到最后在受害用户强烈质疑下才被媒体曝光。其它如一些大的论坛、博客系统都发生过“挂马”事件，此类事件在2005年可谓层出不穷。建立算机病毒预警系统平台，防患于未然王江民介绍，2005年网络安全形势除以上三大特征外，还包括病毒变种速度快，传播范围小，更加隐蔽，目的性更强；Rootkit技术成为病毒发展的一个趋势；病毒利用系统漏洞的时间越来越短，0day漏洞多次出现等特征。针对越来越严峻的反病毒形势，王江民认为可以从以下几点加强防范工作。首先应加强计算机操作系统的漏洞与计算机病毒的监测与预警工作。目前江民科技已经初步建立了完全自主创新的一整套计算机病毒预警系统平台，同时也正在配合国家相关主管机关，建设一个覆盖全国范围各行各业的预警信息平台，同时会在此基础上形成一些标准与规范，为国家主管部门提供信息建立一个可靠的平台与基础。2006，网络将面临哪些威胁？ 对于2006年网络安全形势，王江民分析认为，计算机病毒的变种特别是木马类程序的数量和速度会更多更快。计算机病毒利用的技术会越来越高，采用类似系统级驱动程序类Rootkit 的病毒会越来越多，这对普通用户提出了非常严峻的考验，同时也对安全厂商的反病毒解决方案也提出了挑战；越来越多的病毒开始具有对抗反病毒软件的功能，他们往往首先检测是否含有已知的反病毒程序，如果有的话，就先终止这些安全软件的运行，然后自我在计算机中扩散。此外，病毒和木马的地域性将逐步增强，这同时给国内外厂商都提出了考验。 网络世界在遭受计算机病毒和木马巨大威胁的同时，另一种网络威胁——网络欺诈仍然会继续在国内流行。最后，随后智能手机的逐渐普及和3G牌照的发放，手机病毒将成为无线网络的巨大威胁，目前国内外已经截获手机病毒百余种，病毒数量将会在2006年快速增长，目前手机病毒已经引起各大反病毒厂商的高度关注，江民反病毒研究中心正在积极研究和开发相关的技术和产品，为即将到来的手机病毒大潮做好应对措施。（责任编辑：zhaohb）