下表中的数据根据卡巴斯基产品检测情况统计得出。
网络流行病毒排名
下表中给出了中国地区2008年12月互联网上病毒的活跃情况。表中所列的都是最常遇到的恶意程序。这些恶意程序会在用户上网的同时给用户带来危害。
排名第一的恶意程序并没有一个具体的名称。这13.7%的恶意程序都被启发式分析技术归类为特洛伊木马程序并被命名为:HEUR:Trojan.Win32.Generic。卡巴斯基强大的启发式分析引擎能够根据已知的恶意程序的行为来判定一个程序是否是未知的恶意程序。
以12.97%的份额占据排行榜第二位的也是一个恶意程序家族:Trojan-GameThief.Win32.Magania.gen。卡巴斯基在对此恶意程序的检测上使用了另外一种先进的技术,即generic通杀技术。通过这种技术,即使恶意程序变种间代码细节上有所差别,但只要恶意行为一致就无法逃脱卡巴斯基的查杀。
generic通杀技术和启发式分析技术都是现代反病毒软件的强大的武器,利用它们可以更有效地识别某恶意程序的各种各样的变种。在上表中我们还可以看到几个这样的例子:HEUR:Trojan-Downloader.Win32.Generic、Heur.Win32.Trojan.Generic和HEUR:Trojan.Win32.Invader。它们分别排在第6、8和19位。也就是说25%的恶意程序都是用未知恶意程序查杀技术检测到的。
尽管目前危害用户的主要是木马程序,但我们还是遇到了病毒程序,如Virus.Win32.Xorer.ey。这个病毒以0.93%的份额占据第12位。更确切的讲,这个病毒是一种蠕虫病毒。它可以通过局域网和可移动存储设备传播。这个病毒还使用了rootkit技术,会修改注册表以及对抗反病毒软件。
通常恶意程序还会利用正常软件的各种漏洞进行攻击。我们这里就有一个,即Exploit.Win32.IMG-WMF.fx。这个恶意程序会利用微软的MS08067远程溢出漏洞来执行远程代码。需要注意的是,尽管微软已经发布了漏洞修复补丁,但仍然有很多用户会中毒,因为很多用户都不关心系统的安全问题,不注意及时修复系统安全漏洞。
另外值得注意的是,尽管在我们的前二十名中占据主要地位的恶意程序类型是Trojan-Dropper和Trojan-Downloader,但它们进行的只是第一轮攻击,接下来这些恶意程序就会下载运行其它恶意程序,对用户进行第二轮的攻击。
如今的反病毒软件应该拥有多条防线,使得其能够在多条战线上对抗恶意程序。拿卡巴斯基来说,恶意程序要下载运行就需要通过卡巴斯基的各条防线。我们可以考虑这样一种情况,某个网站被挂马,网页被加入了一条恶意链接,恶意链接的网页里的代码会执行某些恶意脚本,而这些恶意脚本会使浏览器下载执行某些恶意程序。当用户点击某个恶意链接时,卡巴斯基会首先检查这个链接是否是钓鱼网站或是其它已知的恶意网站;若链接的页面中存在脚本,卡巴斯基会使用脚本启发分析等技术检查脚本;如果要下载文件,卡巴斯基会使用包括特征匹配技术、通杀技术、启发式分析等技术在内的各种技术对文件进行扫描;如果文件要运行,卡巴斯基会使用主动防御系统拦截运行中的恶意行为。拥有这样多条防线,难怪会有病毒作者在病毒程序中写“我恨卡巴”。
卡巴斯基的产品中使用的新技术在对抗各种计算机威胁中都是十分有效的。尽管如此,普通用户还是要提高注意力,预防计算机安全问题。这就需要及时更新病毒库、更新程序,防止计算机被感染。
