计算机病毒的中外差异

tiejun

通常，人们对可以传染的疾病都会觉得有些恐惧。比如说非典时，人人自危，感冒了都不敢大声咳嗽，生怕被周围的人举报然后送去隔离。在古代，人们甚至将一些染上麻风的病人用火烧死，以图控制疫情漫延。我们知道，传染病的传播，是一些病原体从一个健康人到另一个健康人，再逐步漫延到更多人群的过程。病源体，包括致病菌、病毒，或其它微生物。我们还知道传染病的发生发展，还与人群、病原体和传播途径有关。而与这三个环节同时相关的，还有社会环境和自然环境。


一种传染病，只会在某种社会人文环境和特定的自然环境下才能发生，而不是全人类都要受这种传染病的影响。我们常在电视新闻上看到非洲某地埃博拉出血热很恐怖，但我们却不用担心，这种致命的病毒必须借助一定的媒介才可能到达其它地区。随着社会环境的不断变化，传染病的构成也发生深刻变化——以前的小孩子经常被麻疹这样的传染病折磨，而因为计划免疫的人工干预，麻疹基本消失。因为人们饲养宠物的数量增加，狂犬病等一些人兽共患病越来越多。由于性观念的巨大变化，以前在中国几乎消失的性病又死灰复燃，以致于我们经常能在街头巷尾的小广告上看到它们。

计算机病毒（注：这里所指的计算机病毒，是指所有恶意软件，并非法学定义的病毒概念），是从生物病毒演化过来的名词，计算机病毒的传播特性非常接近于生物病毒。

因此，我从公共卫生转行到计算机病毒防治的时候，根本没有转行的感觉。计算机病毒的传播同样取决于三个环节：病毒、电脑系统（包括电脑和操作电脑的人）、病毒传播途径，这三者缺少任何一个环节，病毒都不能完成从一台电脑到另一台电脑的传播过程。比如，我的电脑里存储了很多病毒样本，但这些样本我从来不会在真实的系统中联网运行，我也不会将这些样本复制到别的媒介，那这些病毒就不可能传播到其他电脑。

计算机病毒的传播，同样受外在环境的影响，就如沙漠中不会有热带雨林才能生长的植物。计算机病毒的发生发展，也有自身所依赖的生态环境。这很好理解，举例说明：如网购病毒、交易劫持木马横行，如果你从来不在网上购物的话，你的电脑基本上不会受网购病毒的影响。这些病毒根本没有到达你电脑的机会。而有的人特别喜欢欣赏爱情动作片，那他的电脑可能三天两头需要杀毒。

在每年整理年度感染数据时，安全厂商都会对计算机病毒的数量和构成进行分析，总结出影响最大的十大病毒排名。尽管各厂商对病毒的具体命名可能不尽相同，各自捕获的数据也并不一致，但还是可以看出计算机病毒的分布规律。计算机安全厂商对计算机病毒的发展趋势有一个公认的结论：病毒不再是以破坏系统的为目的，而是以经济犯罪为目的。


前几年，病毒的主要表现是：
1.攻击单个电脑系统
比如CIH，就是要干掉BIOS芯片，将硬盘前若干个扇区的数据抹干净，让电脑不能启动，数据不能访问。funlove病毒就没完没了的感染exe，只到所有exe都被感染了一遍又一遍，最后连病毒自己都快累死了，系统瘫痪了事。
2.攻击网络系统
比如netsky邮件蠕虫，中毒后，给所有联系人发邮件，在附件中传播自身，收件人打开附件，病毒就自动运行，继续不停地给所有联系人发带毒邮件，直到中毒电脑越来越多，直到病毒邮件把邮件服务器硬盘空间占满，邮件服务器彻底歇菜为止。中冲击波之后的电脑，没完没了的重启、崩溃，一台台电脑都成了废铁，正常业务无法进行。

这个时代，病毒作者的真实目的只有一个：技术比拼
病毒作者比的是谁的程序最NB，能把电脑搞死；比谁的病毒传播速度快，几个病毒搞竞争，看谁感染的主机多。病毒作者以玩弄杀毒厂商为乐。比如一些变形病毒，感染一次，换一次特征，还自带编译工具，杀毒软件要恢复被破坏的文件难上加难。

在技术为王的时代，社会文化差异并不怎么影响病毒传播：一个新的蠕虫病毒出来之后，在很短的时间内传遍全球。许多纯英文的蠕虫病毒邮件一样传到很多中国人的电脑，不管这个人懂不懂英语，他都会受英文病毒邮件的影响。冲击波病毒只用几天时间就分布在世界各地，而SQL蠕虫王更快，诞生后几个小时，韩国互联网就全面崩溃，又过了几小时，网络中传递的数据包，绝大多数是病毒自动传输的垃圾数据。就好比北京大堵车的局面，几小时后漫延到全球各个城市。下图展示的是sircam邮件蠕虫发现数小时后在全球的分布情况。

在技术为王的时代，你会发现，不同安全厂商所列举的病毒构成基本吻合，十大病毒排名也是如此，全球各安全厂商的统计结果大致差不多。因为网是连在一起的，蠕虫病毒又具备主动通过互联网传播的特性。病毒在传播时，只要是windows操作系统，不管这个windows系统用的什么语言都一样会感染。

Symantec曾经盘点过十大最具威胁的病毒，其中的大多数为中国网民所熟知。

序号	病毒名	时间	影响评价
1	爱虫病毒I Love You	2000	2000年5月，网络出现一种名为“ILoveYou”的病毒，该病毒通过电子邮件传播。
2	Conficker kido	2008-2009	利用U盘，局域网传播。该病毒首先在国外出现，一段时间以后，对中国企业网络也构成比较大的威胁，与下面其它病毒相比，传播速度算不上很快。
3	梅丽莎Melissa	1999	Melissa 病毒是一种快速传播的能够感染那些使用Office 2000 的计算机宏病毒。
4	SQL Slammer SQL蠕虫王	2003	2003年1月25日首次出现。它是一个非同寻常的蠕虫病毒，Slammer在十分钟之内感染了7.5万台计算机，庞大的数据流量令全球的路由器不堪重负。曾经造成无数网络中断，当年的网管们一定对它记忆深刻。
5	冲击波Blaster	2003	2003年的网民一定都记得它，不停利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOM  RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。
6	红色代码Code Red	2001	“红色代码”是利用微软已知的溢出漏洞，通过80端口来传播到其它计算机的WEB页服务器上，网管们都知道这个厉害。
7	Nimda	2001	一种更具破坏力的恶意代码——Nimda worm 蠕虫开始在Internet上迅速蔓延传播。传播迅猛，变种很多，感染后在很多文件夹能发现一个个小信封，双击就中毒。
8	震荡波Sasser	2004	2004年“五一”期间，“震荡波”蠕虫病毒席卷了全世界，数千万电脑瘫痪。与2003年的“冲击波”病毒非常类似，同属于的网络蠕虫，感染 Windows 2000、XP系统，造成计算机运行异常缓慢、网络不畅通，并让系统不停重新启动。中国网民最熟悉的病毒，除了冲击波，那就是震荡波了。
9	暴风Storm	2007	与之前的冲击波病毒类似，Storm发动拒绝服务攻击（DoS）攻击微软的官方网站使其瘫痪。
10	莫里斯MORRIS	1988	中国还没什么网络，基本没受影响。

再看现在，几乎找不到病毒作者这么干，破坏性病毒凤毛麟角。病毒作者几乎都将目标盯上了每个受害者的钱袋子、每台电脑上存储的个人信息、商业情报、每台电脑可以贡献的流量、点击等等。每感染一台电脑，病毒作者都想取得最直接的经济利益。由此，安全厂商们越来越清晰地观察到，一个以病毒生产、传播而滋生的黑色产业链日益壮观。
参考2010年中国安全厂商总结的十大病毒：
江民：

瑞星：

金山：

序号	病毒名	现象
1.	“极虎”病毒	集病毒、木马、木马下载器、蠕虫特征于一体。破坏杀毒软件，感染正常程序文件，伪造系统资源文件usp10.dll和lpk.dll，并联网下载大量其他木马病毒。
2.	“女人必看”类qq盗号木马	主要通过qq群共享和qq好友之间传播，文件名为“传统男人对老婆的5大不讲理”或“女人必看”之类的压缩文件。
3.	“杀破网”病毒	对抗杀软云查杀病毒。该病毒会释放并加载NDIS驱动，通过该驱动判断网络数据包通讯地址，屏蔽杀毒软件的网站。主要通过色情网站的专用播放器传播。
4.	“鬼影”病毒	利用硬盘主引导记录(MBR)启动的病毒，在常规的系统启动项、进程模块中无法找到病毒真正源头。在未恢复成正常MBR前，即使能成功删除其释放、下载的所有木马，系统重启后病毒也会死灰复燃。
5.	浏览器主页篡改病毒	伪造假IE图标，新建恶意url协议，修改浏览器配置文件，伪装正常BHO、IE插件加载。病毒锁定的主页往往是各类导航站点，这些站点通过锁定用户主页来刷取商业网站的流量分成而获利。这也成为恶意软件最常采用的赢利模式。
6.	牛皮癣病毒	桌面，开始菜单，快速启动等目录下所有删不掉图标和文件。牛皮癣病毒与篡改浏览器主页病毒往往同时出现
7.	数字大盗病毒	目标直指网购用户的淘宝，支付宝账号。病毒作者伪装为淘宝或其它平台卖家，发送名字类似"实物图"，"细节图"的文件给买家，一旦买家信以为真点击这些文件运行，数字大盗病毒会立即运行。
8.	“伴随者”木马	打开网游或者聊天软件时，病毒即被激活，开始监视用户输入信息，截取当前屏幕并发送到指定收信地址，从而窃取到所需信息。
9.	“暴风1号”病毒	一个由VBS脚本编写，采用加密和自变形手段，主要通过U盘传播的恶意蠕虫病毒。该病毒在2009年即大量爆发，在2010年内出现新变种。病毒的主要目的是篡改浏览器。
10.	“震网”病毒 Stuxnet病毒、超级工厂病毒	主要针对特定工业设施系统内的计算机，近乎完美的技术手法，极其隐蔽传播方式和罕见的针对工业系统。"震网"病毒利用windows操作系统内全新的0day漏洞传播，伊朗核计划受重创。

除了震网是网络战的工具，kido是蠕虫病毒，三个厂商总结的年度十大病毒里，再也找不到以破坏为目的的病毒了。
对照前几年，病毒的传播正在发生深刻变革。与病毒所依赖的环境巨变密切相关。
列举一下吧：
1.windows 防火墙集成之后，冲击波、震荡波之类的蠕虫病毒再难掀起大的波澜。
2.Windows内置的outlook express漏洞、IE漏洞和office  outlook的安全漏洞不断被修补。那些仅预览邮件就立刻中毒的情况已不覆存在。office 宏安全性不断改进，宏病毒接近消失。
网络应用的不断拓展，IM和社交网络取代邮件系统成为最为广泛的应用。邮件病毒、宏病毒的生态环境发生巨变。随着IE版本升级，IE越来越安全，网页挂马攻击，已差不多完全失效（在中国是个例外，大量盗版用户死守IE6，网页挂马在中国的消亡是因为金山网盾类的防御工具非常有效。）
由于病毒生态环境的巨变，那些能够主动复制传播的感染型病毒、蠕虫病毒逐步丧失大面积传播的基础，能够在全球范围内传播的病毒越来越少见。

病毒的传播方式，从依靠网络主动复制传播，转变为以网民行为所主导。病毒的传播与网民的行为密不可分，金山网络在年度安全报告中，将最易受病毒攻击的网民归纳为五类：网络视频爱好者，游戏玩家、外-挂使用者，热门软件爱好者，电子书爱好者，偏好使用U盘交换文件的用户。


由于病毒更依赖网民的主动点击行为进行传播，病毒的中外分布差异变得更有文化特征：中国网民大概不会对英文网页有多少兴趣，老外玩facebook，twiiter，中国人则喜欢人人网、开心偷菜，QQ聊天和新浪围脖。同样，外国人也不会对中文社交网络有多少兴趣。例如，Symantec、Panda、微软都曾报告假杀毒软件危害严重，在病毒总感染量的大约5%左右，假杀毒软件一年骗财5000万美元之多。
参考：
网络安全风向标：警惕假杀毒软件作祟
赛门铁克：警惕假杀毒软件微软：有毒的假杀毒软件愈来愈多
但中国杀毒厂商却没有报道假杀毒软件对中国网民有什么影响。原因很简单，中国网民使用软件的付费意愿很低，谁会上假杀毒软件的当呢。

一个简单的例子也可以说明国内外厂商对计算机病毒的关注点存在较大差异：
2010年12月5日，金山捕获了一款可对抗“云安全”的伯虎木马，该木马借“bohu高清影音”播放器传播，木马用比较流行的“SEO+色情网站”手段。即首先通过一些热词或色情信息，如“大笑江湖”“激情小电影”等，将用户吸引至恶意页面，下载专用播放器后中毒。
新闻链接：网络惊现“伯虎”木马！可以对抗云安全
1月16日，AVG发布来自微软恶意软件保护中心的报告，在中国出现一个通过视频插件方式传播的Bohu木马病毒，它不但可以绕过各种杀毒软件的查杀。甚至还能直接阻断杀软跟“云”之间的沟通，阻止杀毒软件的和服务器的联系和升级。
专攻国内云安全的木马出现
2011年2月16日，赛门铁克安全响应中心近期检测到Trojan.Bohu木马病毒，木马病毒Trojan.Bohu化身播放器诱导用户

总结一下：
1.计算机病毒和生物病毒的传播规律很相似；
2.计算机病毒作者早期的目的是技术比拼，现在以经济利益为首要目标；
3.计算机病毒的生态环境发生巨变，蠕虫病毒、感染型病毒、宏病毒丧失生存土壤，病毒传播的速度和范围都趋于下降；
4.病毒传播方式，从主动在网络中复制传播，转变为依赖网民的鼠标点击，与网民的行为嗜好密切相关。网民的文化差异，决定了病毒传播的中外差异；
5.文化差异与目标用户的差异，也造成了中外杀毒厂商关注点的不同。

小紫英

然后呢？铁军说出了不同和原因，那么应该做点什么或者不做什么呢？

guobao13

金山现在的主要精力应该放在整合上面

z13667152750

来看看，总觉得这篇文章缺点什么……

zhaokang0564

好文章。支持一下。

yujiakun

用户中了国外的毒，怎么办？那是用户的错了（因为他染上老外的XX毒了）？

tiejun

先了解病毒分布的规律，才能找到真正有效的办法。

jefffire

铁军这次的文章终于体现出专业水准了。[:26:]
文章分析的很对，中外文化差异导致的病毒木马的差异。不过，这中差异不能成为某些借口。尤其是金山这样，一直想国际化的公司，不论国内国外都要强才行。
再说几句，厂商关注的重点也不代表对这个重点处理的就好。你要知道厂商重点关注的方面也是木马作者关注的重点。国外的木马病毒，很少专门对国内厂商做免杀。而国内厂商重点关注的国内木马，国内木马作者也是重点针对国内厂商。此消彼长，很难说国内外病毒的差异在查杀率上会有多大的影响。

youwei2000

世界上只有中、外两个概念吗？俄国人是不是也会出一个俄外病毒差异？美国人出个美外病毒差异？
楼主这篇文章是想说明中国人笨呢还是外国人聪明呢？

7奇天大圣7

前排支持下·