病毒制售形成产业化

调查显示，趋利性成为计算机病毒发展的新趋势，近年来全球病毒编写和制作者的目的有了根本性的改变，由“损人不利己”的炫耀个人技术转向以获取利益为主要目的地下组织。利益的驱使下，病毒制作由个人的兴趣爱好，演变为病毒行业，病毒作者变身为“职业选手”，目前，病毒行业基本形成黑客培训、病毒制造、病毒加工、出售病毒、传播病毒、窃取信息、销售赃物等已经形成以获取利益为核心的病毒产业链。

目前，在我国已基本形成制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱这一分工明确的网上黑色产业链。当前病毒已形成了‘产、供、销’一条龙的灰色产业链。

2008年扬州警方破获的“伯乐木马案”就牵出完整盗号产业链，从顶端“制马”到终端的盗取装备牟利，犯罪嫌疑人呈金字塔形分布。仅目前掌握的就多达700余人，涉及20多个省50多个市。网络新型犯罪团伙纠合之快、人数之众，超乎人们的想象。此外，涉案人员身份隐匿，查证困难，盗号产业链给用户、厂商乃至整个互联网带来巨大危害。 

病毒产业化催生病毒新特点

在这种产业化的形势下，病毒在制作和传播上具有了新的特点。网络中大量出现的“自动加壳机”“自动免杀机”等自动化加工病毒工具，侧面证明了病毒制作开始“产业化”和“自动化”，而黑客制作的病毒也逐渐呈现出隐蔽性、抗杀性、针对性以达到最终获取利益的目的，当今计算机病毒出现了新的特点。

1）   隐蔽性：

即兼容性、程序不可见性，任务完成后自杀。

通常一般的病毒程序都夹在正常程序之中或者将自身程序隐藏，很难被用户发现，病毒进入用户计算机后，计算机系统通常仍能正常运行，使用户不会感到任何异常，好像不曾在计算机内发生过什么，而病毒目的只是为了窃取用户系统有价值的信息，在成功完成任务后，自动删除自身程序。

为了达到获取利益的目的，病毒就要做得隐蔽性强，越隐蔽的病毒越难被用户发现，从而越不容易被反病毒公司收集，反病毒公司无法收集到样本就无法查杀。

        被称为2008年感染和危害最强的机器狗病毒：它采用了能突破系统还原卡（硬件）的技术，可以穿透系统还原软件和常见的硬盘保护卡，下载病毒木马程序，而后在被感染的电脑上安插木马和病毒。当感染机器重启还原后，该样本仍存活在系统中，从而达到长期驻用户机器的目的。

2）   抗杀性： 

对老病毒进行改造，采用加花、加壳、变种等免杀技术，躲避杀毒软件查杀。采用内核技术加强对病毒的保护，使杀毒软件即使发现也难以清除。直接对杀毒软件进行攻击，导致杀毒软件不能正常工作。 

近年危害性较强的AV终结者/磁碟机病毒，主动劫持杀毒软件，令杀毒软件无法正常运行，让用户机器处在无安全防护状态；主动关闭杀毒软件界面或包含杀毒文字的qq窗口或ie窗口，令中毒者无法上网求助，并借助于网上流行的加壳器等免杀工具躲避杀毒软件特征码的查杀。

3）   针对性：

针对特定的目标，采用特定的病毒攻击。如果被攻击的用户没有发现，反病毒公司就无法收集到这个病毒，这个病毒将在用户的计算机中长期与杀毒软件共处。

游戏盗号类木马病毒，中毒后自动遍历进程查询是否运行游戏，如果没有则不作进一步行为，一旦发现目标立即动手盗取用户帐号及网络游戏虚拟财产。

如下图就是针对大话梦幻游戏盗号的木马生成器，该生成器生成的病毒木马程序是专门用来盗取该款游戏的账号密码信息。

4）   小批量、多变种、自动更新：

小批量：小批量感染用户，反病毒公司可能无法获取病毒样本。

多变种：同一个病毒采用多种免杀技术生成多个变种，损失降到最小。

自动更新：频繁自动更新自身，使得病毒特征码不断发生变化，即使反病毒公司获取到原来病毒样本，在杀毒软件升级前，病毒已经自动更新，杀毒软件升级后依然无法发现病毒。

由于杀毒软件的依靠特征码技术查杀病毒，只有获取样本，提取病毒特征后，才能查杀病毒，病毒编写者为了获取经济利益，避免自己的病毒程序被杀毒软件查杀，就采用这种小批量、多变种、自动更新的方式，在病毒数量、更新时间上与杀毒软件抗衡，病毒制造者使得杀毒软件即使升级也无法查杀，由于批量小，杀毒公司根本无法获取到病毒样本。

5）   工具化、自动化：

当前病毒已出现工具化和自动化的最新特征，由于病毒编写者的目的发生了根本的改变，由过去的‘损人不利己’转向以获取利益为主要目的。编写病毒目的的改变，使得病毒从形式、传播方式、数量等方面均发生了颠覆性的变化，也因此出现了‘自动加壳机’‘自动免杀机’‘病毒生成器’等自动化加工病毒工具，自动生成病毒变种，导致病毒数量呈几何级数增长，反病毒公司处于难以应付的境地。

生成器可根据自定义的功能来生成病毒文件：

搜索引擎搜索框输入病毒生成器，可以查询到上百万的结果，其中不乏有各种病毒的自动批量生成器，即使菜鸟使用这种生成器，也可在很短的时间内创造成百上千的病毒。而这些新生成的病毒对于杀毒软件厂商来说在未收集到样本前都是不能够识别的。

以趋利性为显著特征的病毒攻击，已完全颠覆了传统意义上的病毒危害，反病毒形式严俊。

专家支招：如何保护我们的信息安全

传统的杀毒软件已经很难对付当前病毒的新威胁，在互联网广泛应用、全球病毒特征出现了颠覆性变化的今天，传统杀毒软件已经显得力不从心。其原因在于传统杀毒软件采用的是特征值扫描技术-- "病毒出现--用户提交――厂商人工分析――软件升级"的思路，对病毒的防范始终是落后于病毒出现。换句话说，当前病毒都已经自动化产业化了，杀毒厂商还在采用落后的人工分析的思路，必然做不到对未知病毒和新病毒的防范，更谈不上有效防止用户被动泄密。实现反病毒技术由被动事后杀毒到主动防御的变革，不仅是全球反病毒产业的共同课题和新的竞争焦点，更是计算机用户的迫切需求。

为此，反病毒专家微点总裁刘旭提出了以下四点策略，用以实现用户对信息资产的保护。

其一、用户应养成良好的上网习惯，应该是不该上的网站，尽量别上，往往一些不健康的网站也是造成用户病毒感染的重要原因。

其二、应有自觉的信息安全意识。在一个单位，同事之间，应给注意存储信息的工具不能轻易共享。随意通过U盘把自己的文件拷给别人，或者到别人机器上拷文件，不仅是感染并传播病毒的途径，也是造成病毒攻击、黑客入侵而导致信息被动泄密的重要原因。我认为，在实际工作中，特别是对信息安全要求高的用户，应该杜绝用U盘在不同的用户间来回拷文件的做法，并且还应加强对用户自身邮件安全的保护，拒收不明邮件。同时，有条件应该做到专机专用。

其三、采用安全可靠的反病毒工具。传统杀毒软件在原理和技术根基上就难以对付未知病毒和新病毒，依赖杀毒软件难以很好的保障用户信息安全。越来越多的例子已经证明，杀毒软件自身也容易被攻击。所以，我认为不仅要慎用非正版软件，还要谨慎选用反病毒工具。采用具有主动防御技术的反病毒工具是比较可靠的选择。

其四、对一个单位来说，建立严格的信息安全管理机制是重要的保障，这与前面提到的三条措施并行不悖，不仅应做到内外网分开，更重要的是建立信息安全保障的管理流程，从习惯、意识、工具、机制等四个层面上确保网络安全，防止出现被动乃至主动信息泄密。