江民反病毒中心、江民KV病毒預警監測系統、江民全國惡意網頁監測系統、江民客戶服務中心聯合監測統計的數據顯示，2008年01月01日至2008年12月31日，共截獲病毒1095932種類（所有病毒計數按KV特徵碼記錄計算，並非樣本MD5值，病毒變種無論多少均視為同一類病毒），較2007年增長201.9%，共有28085085台用戶計算機感染了病毒。

   與2007年相比，2008年度病毒種類增長了約201.9%，感染計算機總數下降了18.39%。雖然2008年總體來說計算機病毒數量仍然居高不下，但總體病毒感染量的下降也在一定程度上反映出國內的網民在安全意識方面有了一定的提高，網絡安全防範措施有所增強。

 
   從全年的病毒種類來看，2008年月病毒種類維持在10萬左右。年初的時候，處於相對平穩狀態，在5月份達到年度峰值（110144種），之後在8萬到10萬之間上下浮動，10月份跌到年度低谷（78895種）。

  
   從感染的計算機數量來看，病毒疫情最嚴重的月份集中在上半年。1月份全國感染計算機總數達到年度峰值（341萬7千餘台），成為年度疫情最嚴重的月份。2月份到9月份有一定幅度下滑，10月份達到年度低谷（129萬1千餘台），11月、12月有微幅上揚趨勢。
  
  從所截獲的病毒種類來看,2008年所截獲的病毒中,木馬病毒占78%,後門病毒占10%,廣告程序占4%,蠕蟲病毒占6%,其它類型惡意代碼為2%。相較於2007年，木馬、後門類病毒占病毒總數的比例增長了10%，這說明2008年度網絡安全最大的威脅仍然來自於木馬、後門類病毒。

 
  總體來講，2008年計算機病毒疫情總體呈現出如下幾個特徵：

  一、網游盜號類病毒大行其道，新木馬病毒中十有七八

  受經濟利益驅使，利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡遊戲玩家的遊戲帳號、遊戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息資料的病毒今年十分活躍。2008年年截獲的新木馬病毒中，80％以上都與盜取網絡遊戲帳號密碼有關。病毒作者的牟利目標十分明確，就是盜取互聯網上有價值的信息和資料，特別是網絡遊戲帳號密碼、以及虛擬裝備等，轉賣後獲取利益。逐利已成為此類病毒的唯一動機和目標，隨著網絡遊戲的火爆和興盛，此類病毒仍然有著龐大的市場和生存空間，成為2008年度最主流的計算機病毒。

  二、應用軟件漏洞成為「網頁掛馬」新途逕取

  2008年，每一次系統漏洞出現，都會迅速湧現出大量的利用該漏洞的惡意網頁。除了操作系統以及瀏覽器存在的漏洞，眾多應用工具軟件漏洞也大量被病毒利用，比如各種IM即時通訊聊天工具漏洞、播放器漏洞、網絡電視播放軟件漏洞、甚至就連搜索工具條漏洞都被駭客大量利用。駭客「網頁掛馬」的方式除了入侵各種存在漏洞的網站、論壇以及博客系統，直接在入侵網站的頁面上掛馬外，最廣泛的傳播方式是在網絡上大量散發將帶有病毒的惡意網頁鏈接，散發方式多種多樣，可以是即時聊天工具，也可以是使用特製的各種博客或論壇的自動登陸發佈系統（如各種論壇群發軟件，可自動向指定的大量論壇發指定內容的帖子），這些被廣泛傳播的惡意網頁地址無處不在，成為互聯網上埋下的一顆顆定時炸彈。如最新的微軟IE7 XML 0day漏洞自出現後十天之內，即被黑客廣泛用於網頁掛馬，傳播計算機病毒。10天中，江民反病毒中心截獲了數百個利用此漏洞的惡意網頁，它們分佈在165個黑客網站上，而這些作為病毒傳播源的惡意網頁地址更是被廣泛傳播到成千上萬的網站上，數百萬電腦用戶面臨嚴重安全威脅。

  三、網絡欺詐威脅急劇上升 

  2008年，各種名目的虛假網絡欺詐頻頻現身。其中，偽裝騰訊QQ發佈虛假中獎信息的廣告尤其突出。病毒通過彈出一個偽裝的QQ消息窗口，用戶一旦點擊了彈出窗口中的鏈接，該病毒便會打開一個偽裝的騰訊QQ網站，並顯示虛假的中獎信息，誘惑用戶點擊並進入領獎窗口。隨後該釣魚網站會要求用戶填寫個人信息資料及輸入中獎消息上提供的驗證碼，當領獎信息全部填寫完畢後，釣魚網站會提示用戶需要提前繳納手續費並提供一個駭客的銀行賬戶，誘騙用戶向駭客的賬戶中匯款，騙取錢財。除了QQ之外，淘寶網旗下的淘寶旺旺用戶也頻遭此類網絡欺詐侵害，淘寶賣家的旺旺上頻繁彈出非淘寶網鏈接，欺詐者通過「我想買這個寶貝」「這個寶貝有貨嗎」等語言，後面跟上一個欺詐網址，使淘寶用戶誤以為是買家需要的寶貝鏈接從而去點擊，最終可能導致淘寶帳號被盜或電腦感染病毒的嚴重後果。

   四、殭屍網絡有增無減 BOT類病毒高發

  2008年，江民反病毒中心監測到，上半年各種可以用來組建「殭屍網絡」的BOT類病毒高發，由於電腦感染BOT病毒後，可以接受服務器端的遠程控制，導致許多電腦用戶不知不覺成為黑客的幫兇。2008年上半年，為了確保奧運會網絡安全，江民反病毒中心配合國家計算機病毒處理中心集中處理BOT類病毒數千種，協助公安部門清理了多個「殭屍網絡」病毒源頭。

   案例一：
「殭屍網絡」危害巨大，2008年某知名門戶網站就曾經受到殭屍網絡的攻擊，導致多台服務器無法為網民提供服務，損失巨大。

   案例二：

   據國家計算機病毒應急處理中心介紹，2008年，山東濰坊兩家物流公司因為存在商業競爭，一公司為搶奪客戶資源僱用黑客利用DDOS手段大面積入侵聯網電腦，致使濰坊40萬網通用戶7月份不能正常上網。6月底，畢某與曲某為了打擊競爭對手的物流公司，共同策劃讓濰坊市這家物流園公司網絡癱瘓的手段，僱用了黑客高手朱某想辦法讓對手打不開網站。朱某是淄博人，酷愛電腦技術。因計劃與女朋友共同買房的朱某目前尚短缺一筆不小的資金，為了湊足這筆資金，他答應幫助畢某、曲某的忙。朱某想到利用DDOS黑客程序進行攻擊，朱某7月10日開始抓「機」（電腦），總共控制了大約5000台「肉機」（又稱傀儡機）。利用這些傀儡機，自7月17日開始，朱某在家裡或者網吧攻擊濰坊該物流公司的電腦主機，不想濰坊某物流公司的托管服務器正好位於網通公司，黑客攻擊連累全市40多萬網通用戶無法正常上網。


   五、病毒產業化以及互聯網化日益明顯
   
   目前計算機病毒已經呈現出產業化特徵，已經形成從「病毒作者」——「盜號團伙」——「銷售平台」——「終端用戶」的完整產業鏈，病毒作者不再會為惡作劇、破壞系統、干擾用戶操作這些損人不利己的事情去消耗精力，獲利已經成為黑客傳播病毒的唯一目標。更多的病毒選擇悄悄潛伏在系統中，伺機竊取病毒作者指定的有價信息，如網游帳號密碼、虛擬裝備、Q幣、網上銀行帳號密碼等等。製作和傳播計算機病毒已經演變為有預謀的網絡犯罪，而參與網絡犯罪的人員因為組織嚴密、分工明確，已經成為一種「網絡黑社會」。

  與現實生活中的黑勢力團伙不同，這種「網絡黑社會」是通過互聯網進行分工和指派任務的，他們通常利用臨時QQ群的形式集會，所有活動完全通過互聯網實施，並通過互聯網銷售平台將竊取的有價信息轉賣，整個作案過程完全實現了互聯網化。　　


   2008年十大高發性熱門病毒

   江民反病毒中心、江民客戶服務中心、江民全球反病毒監測網、江民全國惡意網頁監測系統、江民KV病毒預警系統聯合統計，綜合感染的用戶計算機台數、病毒的危害性、病毒新技術、清除難易程度等因素，評出2008年度十大熱門病毒。

   在江民公司2008年度截獲的所有病毒中，網游盜號類病毒最為猖獗,「網游竊賊」「網游大盜」病毒分別佔據十大病毒第一、二名，而在病毒感染計算機台數前20名病毒中,網絡遊戲盜號木馬佔了10個席位,上千萬台電腦被此類病毒感染。 「網游竊賊」病毒以壓倒其它病毒的絕對優勢一舉成為2008年度「毒王」，而去年的「毒王」「U盤寄生蟲」則下降到第四位。

 

  2008年度十大計算機病毒檔案：

（1） 「網游竊賊」及其變種
病毒名稱：Trojan/PSW.OnLineGames
中 文 名：網游竊賊
病毒類型：木馬
危險級別：★
影響平台：Win 9X/ME/NT/2000/XP/2003
描    述：Trojan/PSW.OnLineGames「網游竊賊」是一個盜取網絡遊戲帳號的木馬程序，會在被感染計算機系統的後台秘密監視用戶運行的所有應用程序窗口標題，然後利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡遊戲玩家的遊戲帳號、遊戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息資料，並在後台將盜取的所有玩家信息資料發送到駭客指定的遠程服務器站點上。致使網絡遊戲玩家的遊戲帳號、裝備物品、金錢等丟失，會給遊戲玩家帶去不同程度的損失。 「網游竊賊」會通過在被感染計算機系統註冊表中添加啟動項的方式，來實現木馬開機自啟動。

（2） 「網游大盜」及其變種
病毒名稱：Trojan/PSW.GamePass
中 文 名：網游大盜
病毒類型：木馬
危險級別：★
影響平台：Win 9X/ME/NT/2000/XP/2003
描    述：Trojan/PSW.GamePass「網游大盜」是一個盜取網絡遊戲帳號的木馬程序，會在被感染計算機系統的後台秘密監視用戶運行的所有應用程序窗口標題，然後利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡遊戲玩家的遊戲帳號、遊戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息資料，並在後台將盜取的所有玩家信息資料發送到駭客指定的遠程服務器站點上。致使網絡遊戲玩家的遊戲帳號、裝備物品、金錢等丟失，會給遊戲玩家帶去不同程度的損失。 「網游大盜」會通過在被感染計算機系統註冊表中添加啟動項的方式，來實現木馬開機自啟動。

（3） 「代理木馬」及其變種
病毒名稱：Trojan/Agent
中 文 名：代理木馬
病毒類型：木馬
危險級別：★★
影響平台：Win 9X/ME/NT/2000/XP/2003
描    述：Trojan/Agent「代理木馬」是木馬家族的最新成員之一，採用高級語言編寫，並經過加殼保護處理。「代理木馬」運行後，會自我複製到被感染計算機系統中的指定目錄下，修改註冊表，實現開機自啟。在被感染計算機的後台秘密竊取用戶所使用系統的配置信息，然後從駭客指定的遠程服務器站點下載其它惡意程序並安裝調用運行。其中，所下載的惡意程序可能為網絡遊戲盜號木馬、遠程控制後門和惡意廣告程序等等，會給用戶帶去不同程度的損失。

（4） 「U盤寄生蟲」及其變種
病毒名稱：Checker/Autorun
中 文 名：U盤寄生蟲 
病毒類型：蠕蟲
危險級別：★★
影響平台：Win 9X/ME/NT/2000/XP/2003 
描    述：Checker/Autorun「U盤寄生蟲」是一個利用U盤等移動存儲設備進行自我傳播的蠕蟲病毒。「U盤寄生蟲」 運行後，會自我複製到被感染計算機系統的指定目錄下，並重新命名保存。「U盤寄生蟲」會在被感染計算機系統中的所有磁盤根目錄下創建「autorun.inf」文件和蠕蟲病毒主程序體，來實現用戶雙擊盤符而啟動運行「U盤寄生蟲」蠕蟲病毒主程序體的目的。「U盤寄生蟲」還具有利用U盤、移動硬盤等移動存儲設備進行自我傳播的功能。「U盤寄生蟲」運行時，可能會在被感染計算機系統中定時彈出惡意廣告網頁，或是下載其它惡意程序到被感染計算機系統中並調用安裝運行，會被用戶帶去不同程度的損失。「U盤寄生蟲」 會通過在被感染計算機系統註冊表中添加啟動項的方式，來實現蠕蟲開機自啟動。

（5） 「灰鴿子」及其變種
病毒名稱：Backdoor/Huigezi
中 文 名：灰鴿子
病毒類型：後門
危險級別：★★
影響平台：Win 9X/ME/NT/2000/XP/2003 
描    述：Backdoor/Huigezi 「灰鴿子」是後門家族的最新成員之一，採用Delphi語言編寫，並經過加殼保護處理。「灰鴿子」運行後，會自我複製到被感染計算機系統的指定目錄下，並重新命名保存（文件屬性設置為：只讀、隱藏、存檔）。「灰鴿子」是一個反向連接遠程控制後門程序，運行後會與駭客指定遠程服務器地址進行TCP/IP網絡通訊。中毒後的計算機會變成網絡殭屍，駭客可以遠程任意控制被感染的計算機，還可以竊取用戶計算機裡所有的機密信息資料等，會給用戶帶去不同程度的損失。「灰鴿子」會把自身註冊為系統服務，以服務的方式來實現開機自啟動運行。「灰鴿子」主安裝程序執行完畢後，會自我刪除。

（6） 「QQ大盜」及其變種
病毒名稱：Trojan/PSW.QQPass
中 文 名：QQ大盜
病毒類型：木馬
危險級別：★
影響平台：Win9X/2000/XP/NT/Me
描    述：Trojan/PSW.QQPass「QQ大盜」是木馬家族的最新成員之一，採用高級語言編寫， 並經過加殼保護處理。「QQ大盜」運行時，會在被感染計算機的後台搜索用戶系統中有關QQ註冊表項和程序文件的信息，然後強行刪除用戶計算機中的QQ醫生程序「QQDoctorMain.exe」、「QQDoctor.exe」和「TSVulChk.dat」文件，從而來保護自身不被查殺。「QQ大盜」運行時，會在後台盜取計算機用戶的QQ帳號、QQ密碼、會員信息、ip地址、ip所屬區域等信息資料，並且會在被感染計算機後台將竊取到的這些信息資料發送到駭客指定的遠程服務器站點上或郵箱裡，會給被感染計算機用戶帶去不同程度的損失。「QQ大盜」通過在註冊表啟動項中添加鍵的方式，來實現開機木馬自啟動。

（7） 「Flash蛀蟲」及其變種
病毒名稱：Exploit.CVE-2007-0071
中 文 名：「Flash蛀蟲」變種
病毒類型：腳本病毒
危險級別：★★
影響平台：Win 9X/ME/NT/2000/XP/2003
描    述：Exploit.CVE-2007-0071「Flash蛀蟲」是腳本病毒家族的最新成員之一，採用Flash腳本語言和彙編語言編寫而成，並且代碼經過加密處理，利用「Adobe Flash Player」漏洞傳播其它病毒。「Flash蛀蟲」一般內嵌在正常網頁中，如果用戶計算機沒有及時升級安裝「Adobe Flash Player」提供的相應的漏洞補丁，那麼當用戶使用瀏覽器訪問帶有「Flash蛀蟲」的惡意網頁時，就會在當前用戶計算機的後台連接駭客指定站點，下載其它惡意程序並在被感染計算機上自動運行。所下載的惡意程序一般多為木馬下載器，然後這個木馬下載器還會下載更多的惡意程序安裝到被感染計算機的系統中，會給用戶帶去不同程度的損失。

（8） 「初始頁」及其變種
病毒名稱：Trojan/StartPage
中 文 名：「初始頁」及其變種
病毒類型：木馬
危險級別：★★
影響平台：Win 9X/ME/NT/2000/XP/2003 
描    述：以Trojan/StartPage.aza為例，Trojan/StartPage.aza「初始頁」變種aza是「初始頁」木馬家族中的最新成員之一，採用「Microsoft Visual C++ 6.0」編寫，並且經過加殼保護處理。「初始頁」變種aza運行後，會在被感染計算機系統的「%SystemRoot%\system32\」和「%SystemRoot%\system32\drivers\」目錄下分別釋放惡意DLL功能組件文件「*.dll」（文件名隨機生成，文件大小為：45,056 字節）、惡意驅動文件「*.sys」（文件名隨機生成，文件大小為：28,608 字節）。在被感染計算機系統的後台定時訪問指定的惡意廣告站點
「http://www.outhang.cn/api.php?id=%d&mac=%s&type=%d&setupdate=%d%02d%02d&homepage=%s」，提高這些惡意網站的訪問量（網絡排名），不僅給駭客帶來經濟利益，而且還會嚴重影響和干擾用戶的正常操作。另外，「植木馬器」變種ps還會佔用大量系統資源，極大地降低了系統的運行速度。在被感染計算機的後台秘密竊取用戶當前所使用的系統的配置信息，然後從駭客指定的遠程服務器站點
「http://www.outhang.cn/update.php?id=%d&updateversion=%d」下載惡意程序並調用運行。其中，所下載的惡意程序可能為網絡遊戲盜號木馬、遠程控制後門或惡意廣告程序（流氓軟件）等，會給用戶帶來不同程度的損失。「初始頁」變種aza釋放出來的惡意驅動程序每次啟動後都會強行設置系統IE瀏覽器的默認啟始頁為「http://www.3929.cn/?tn=102731」(「tn=」後面的編號不唯一)。因為該病毒為驅動級病毒，所以用戶計算機一旦感染該病毒後就極難清除乾淨。「初始頁」變種aza會通過在被感染計算機中註冊系統服務的方式，來實現木馬開機自啟動。

（9） 「機器狗」及其變種
病毒名稱：Trojan/DogArp
中 文 名：機器狗
病毒類型：木馬
危險級別：★★
影響平台：Win 9X/ME/NT/2000/XP/2003
描    述：以Trojan/DogArp. h為例，Trojan/DogArp.h「機器狗」變種h是「機器狗」木馬家族的最新成員之一，採用高級語言編寫，並經過加殼保護處理。「機器狗」變種h運行後，在指定目錄下釋放惡意驅動程序並加載運行。通過惡意驅動程序直接掛接磁盤IO端口進行讀寫真實磁盤物理地址中的數據和進行監控關機行為等操作，從而達到穿透還原軟件的目的。覆蓋「explorer.exe」、「userinit.exe」或「regedit.exe」等系統文件，實現「機器狗」變種h開機自啟動。惡意驅動程序還能還原系統「SSDT」，致使某些安全軟件的防禦和監控功能失效。惡意破壞註冊表，致使註冊表編輯器無法運行。遍歷當前計算機系統中的進程列表，一旦發現與安全相關的進程，強行將其關閉。修改註冊表，利用進程映像劫持功能禁止近百種安全軟件及調試工具運行。在被感染計算機系統的後台連接駭客指定站點獲取惡意程序列表，下載列表中的所有惡意程序並在被感染計算機上自動調用運行。其中，所下載的惡意程序可能是網游木馬、廣告程序（流氓軟件）、後門等，給被感染計算機用戶帶去不同程度的損失。

（10） 「RPCSS毒手」及其變種
病毒名稱：Win32/Infectrpcss
中 文 名：「RPCSS毒手」及其變種
病毒類型：木馬
危險級別：★★
影響平台：Win 9X/ME/NT/2000/XP/2003
描    述：以Win32/Infectrpcss.a為例，Win32/Infectrpcss.a「RPCSS毒手」變種a是「RPCSS毒手」木馬家族中的最新成員之一，採用高級語言編寫，並且經過加殼保護處理。該病毒是由其它惡意程序釋放出來的DLL功能組件文件，一般會被插入到「explorer.exe」、「csrss.exe」、「svchost.exe」等系統進程，以及幾乎所有用戶級權限的進程中加載運行，並在被感染計算機系統的後台執行惡意操作，隱藏自我，防止被用戶發現、被安全軟件查殺。「RPCSS毒手」變種a運行後，會自我複製到被感染計算機系統的「%SystemRoot%\system32\」目錄下，重新命名為「csrss.dll」，釋放病毒組件文件「sh01008.dll」（文件大小：21,504 字節）到「%SystemRoot%\system32\」目錄下。「RPCSS毒手」變種a是一個專門盜取「完美世界Online」、「誅仙Online」等網絡遊戲會員賬號的木馬程序，會在被感染計算機的後台秘密監視用戶系統中所運行著的所有應用程序窗口標題，然後利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡遊戲玩家的遊戲賬號、遊戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息，並在後台將竊取到的玩家機密信息發送到駭客指定的遠程服務器站點上（地址加密存放），致使網絡遊戲玩家的遊戲賬號、裝備、物品、金錢等丟失，給遊戲玩家帶來不同程度的損失。同時，「RPCSS毒手」變種a還具有竊取玩家遊戲賬號密碼保護的功能。因此，當遊戲玩家發現自己的遊戲賬號被盜時，請千萬不要在當前被感染的計算機上登陸該網絡遊戲的官方網站去找回遊戲密碼，否則會連同您的密碼保護資料一同被駭客盜取，給您帶來更大程度的損失。利用域名映像劫持功能，在被感染計算機的後台強行篡改系統中的Hosts文件，屏蔽某些網絡遊戲站點，阻止用戶對這些網絡遊戲網站的訪問，從而達到用戶丟失賬號後無法馬上取回密碼的目的。「RPCSS毒手」變種a利用進程守護功能來實現自我保護。該病毒會通過替換系統「rpcss.dll」文件來實現開機自啟動。如果安全軟件直接刪除掉帶毒文件「rpcss.dll」的話，會導致被感染計算機無法連接網絡、系統複製(粘貼)功能失效、桌面程序「explorer.exe」啟動緩慢等後果，嚴重影響用戶對計算機系統的正常使用。