木马病毒的发展趋势和防范办法

日益壮大的网络产业为木马病毒提供生存和传播的机会

木马病毒是指寄生于用户计算机系统中，盗窃用户信息，并通过网络发送给作者的一类病毒程序。显然，这类病毒要想生存，需要有 2 个基本条件：有什么信息好偷（编写动机）、怎样偷的到（传播手段）。

1. 网络游戏成为木马的主要目标

近年，我国网络游戏产业逐渐成熟壮大，网游用户群也以每年超过 50 ％的速度激增，网络游戏已经形成一种文化。游戏中的“虚拟财富”和现实财富之间的界限也变得越来越模糊。因此，盗取游戏帐号、密码，把别人的虚拟财富据为己有已经为病毒作者们编写木马提供了充足的动机。以传奇游戏为例，每周都有几十种针对该游戏的木马诞生，江民病毒跟踪系统甚至曾在 3 天内从一个病毒网址先后监测到 4 个“武汉男生”病毒的新变种。统计数据表明，今年上半年网游木马的数量和爆发程度大大高于以往。而且可以肯定，这个数据在未来相当长的一段时期还会不断增长。

2. 木马病毒野心膨胀，直指网络银行

江民公司于 2004 年 4 月截获“网银大盗”病毒， 6 月又先后截获“网银大盗Ⅱ”和“网银大盗Ⅲ”。它们的目标包含了 20 余家国内网上银行和 8 家国际网上银行。这一方面给我国方兴未艾的网上交易敲响了警钟，另一方面也可以由此预测，此类可以为病毒作者带来直接利益的木马程序短期内不会减少。

3. 带毒网站数量众多

木马病毒通常在传播时比较被动，绝大多数木马无法主动入侵和感染用户的系统。但目前的情况是，数目庞大的小网站借娱乐色情等主题吸引用户，但同时在网页上种植木马程序，或在一些共享软件、游戏外挂中偷偷捆绑木马，造成用户感染。随着我国网络用户平均带宽的增加，这种状况的危害空前严重。

4. QQ 尾巴为木马传播推波助澜

QQ 尾巴木马是指可以自动通过 QQ 聊天软件发送带毒网址消息的病毒。用户在收到病毒发来的这些消息时，一旦点击了其中的网址，就会连接到带毒网站，造成感染。今年 4 月， QQ 聊天软件的同时在线人数曾创下 500 万的纪录。因此，通过 QQ 聊天软件发送病毒信息也是木马传播的一个重要途径。

5. 黑客网站对木马明码标价

目前，有多家新老黑客网站公开为会员定做各种木马，并明码标价，甚至还出售木马源代码，造成病毒扩散。这也成为木马病毒传播的一个不容忽视的途径。

关于防范木马病毒的几个观点

对于木马病毒的防范，也应从其编写动机和传播手段两个方面入手。根据上文所述，江民公司提出以下几点建议：

1. 网银交易系统的安全性还有提高的空间

最典型的例子是“网银大盗Ⅱ”病毒，它实际上是一个键盘记录程序，通过查询浏览器窗口的标题来判断用户是否在访问网上银行的页面，一旦确定，立即开始记录用户的所有键盘操作。病毒原理虽看似简单，但模拟测试显示，绝大多数网上银行系统都无法有效的保护用户信息，只有少数网银系统提供的虚拟键盘成功的避开了“网银大盗Ⅱ”病毒。用户对更为安全的数字证书等措施的了解程度和使用情况显然不够乐观。关于网上交易安全知识的普及和网银系统自身的安全系数是有效防范网银木马的重点。

2. 网络游戏产业的秩序还需规范

网游文化带来的一个很重要的概念就是虚拟财富。目前，大量证据表明，玩家在游戏中拥有的虚拟财产、等级、物品等可以直接用现实货币兑换。如何界定虚拟财富和现实财富之间的关系，是直接影响到病毒作者编写网游木马动机的问题。

3. 及时安装 Windows 安全更新

Windows 操作系统，特别是 IE 浏览器的安全漏洞频出，无疑给木马传播打开方便之门。 IE 的 OBJECT 标签漏洞、 HTA 类型判断漏洞、 ms-its 跨越安全区漏洞、 mhtml 漏洞、 URI:Location 跨越安全区漏洞、 Adodb.Stream 对象文件安装漏洞、 Shell.Application 对象文件安装漏洞等，都是恶意网页代码把木马悄无声息的下载到用户硬盘上的利器。更有众多的地址欺骗漏洞，可以用来麻痹用户的警惕性。多安装一个微软的安全更新程序，就能有效免疫相当一部分网页木马。因此，如果广大用户都养成打补丁的习惯，对切断木马病毒的传播途径将具有极好的效果。

4. 网站管理也需更加严格

今年 6 月，国外出现了利用 IE 漏洞可以攻击 IIS 服务器的木马病毒“斯科比”（ Trojan/Scob.a ）。所有可提供该病毒程序下载的网站在 1 天之内被全部封杀，非常有效的制止了该病毒的蔓延。相比之下，国内有些网站在长达几个月甚至更长的时间内传播了多种病毒，却依然运行。针对目前大量网站携带木马病毒，甚至公开贩卖病毒的现象，加大网站管理力度，力争从源头阻击木马病毒，使之没有扩散的机会，是防范网页木马的根本。

5. 反病毒厂商和信息安全机构加强对本土病毒的防范力度

由于本土病毒通常会对国内用户造成更加直接的危害，所以国内反病毒厂商和信息安全机构都应加强对本土病毒的关注、防范和宣传力度。这样才能更好的保护国内用户的信息安全。

6. 增强全民防范意识

我国计算机用户的数量增长迅猛，但很多用户对信息保护的意识还不够强。有很多用户的系统没有安装任何反病毒软件或防火墙。通过各种有效方法，向用户普及信息安全知识，提高全民的防范意识，是反病毒工作中一项重要而且长期的任务。



木马病毒的发展趋势和防范办法

	日益壮大的网络产业为木马病毒提供生存和传播的机会木马病毒是指寄生于用户计算机系统中，盗窃用户信息，并通过网络发送给作者的一类病毒程序。显然，这类病毒要想生存，需要有 2 个基本条件：有什么信息好偷（编写动机）、怎样偷的到（传播手段）。 1. 网络游戏成为木马的主要目标近年，我国网络游戏产业逐渐成熟壮大，网游用户群也以每年超过 50 ％的速度激增，网络游戏已经形成一种文化。游戏中的“虚拟财富”和现实财富之间的界限也变得越来越模糊。因此，盗取游戏帐号、密码，把别人的虚拟财富据为己有已经为病毒作者们编写木马提供了充足的动机。以传奇游戏为例，每周都有几十种针对该游戏的木马诞生，江民病毒跟踪系统甚至曾在 3 天内从一个病毒网址先后监测到 4 个“武汉男生”病毒的新变种。统计数据表明，今年上半年网游木马的数量和爆发程度大大高于以往。而且可以肯定，这个数据在未来相当长的一段时期还会不断增长。 2. 木马病毒野心膨胀，直指网络银行江民公司于 2004 年 4 月截获“网银大盗”病毒， 6 月又先后截获“网银大盗Ⅱ”和“网银大盗Ⅲ”。它们的目标包含了 20 余家国内网上银行和 8 家国际网上银行。这一方面给我国方兴未艾的网上交易敲响了警钟，另一方面也可以由此预测，此类可以为病毒作者带来直接利益的木马程序短期内不会减少。 3. 带毒网站数量众多木马病毒通常在传播时比较被动，绝大多数木马无法主动入侵和感染用户的系统。但目前的情况是，数目庞大的小网站借娱乐色情等主题吸引用户，但同时在网页上种植木马程序，或在一些共享软件、游戏外挂中偷偷捆绑木马，造成用户感染。随着我国网络用户平均带宽的增加，这种状况的危害空前严重。 4. QQ 尾巴为木马传播推波助澜 QQ 尾巴木马是指可以自动通过 QQ 聊天软件发送带毒网址消息的病毒。用户在收到病毒发来的这些消息时，一旦点击了其中的网址，就会连接到带毒网站，造成感染。今年 4 月， QQ 聊天软件的同时在线人数曾创下 500 万的纪录。因此，通过 QQ 聊天软件发送病毒信息也是木马传播的一个重要途径。 5. 黑客网站对木马明码标价目前，有多家新老黑客网站公开为会员定做各种木马，并明码标价，甚至还出售木马源代码，造成病毒扩散。这也成为木马病毒传播的一个不容忽视的途径。关于防范木马病毒的几个观点对于木马病毒的防范，也应从其编写动机和传播手段两个方面入手。根据上文所述，江民公司提出以下几点建议： 1. 网银交易系统的安全性还有提高的空间最典型的例子是“网银大盗Ⅱ”病毒，它实际上是一个键盘记录程序，通过查询浏览器窗口的标题来判断用户是否在访问网上银行的页面，一旦确定，立即开始记录用户的所有键盘操作。病毒原理虽看似简单，但模拟测试显示，绝大多数网上银行系统都无法有效的保护用户信息，只有少数网银系统提供的虚拟键盘成功的避开了“网银大盗Ⅱ”病毒。用户对更为安全的数字证书等措施的了解程度和使用情况显然不够乐观。关于网上交易安全知识的普及和网银系统自身的安全系数是有效防范网银木马的重点。 2. 网络游戏产业的秩序还需规范网游文化带来的一个很重要的概念就是虚拟财富。目前，大量证据表明，玩家在游戏中拥有的虚拟财产、等级、物品等可以直接用现实货币兑换。如何界定虚拟财富和现实财富之间的关系，是直接影响到病毒作者编写网游木马动机的问题。 3. 及时安装 Windows 安全更新 Windows 操作系统，特别是 IE 浏览器的安全漏洞频出，无疑给木马传播打开方便之门。 IE 的 OBJECT 标签漏洞、 HTA 类型判断漏洞、 ms-its 跨越安全区漏洞、 mhtml 漏洞、 URI:Location 跨越安全区漏洞、 Adodb.Stream 对象文件安装漏洞、 Shell.Application 对象文件安装漏洞等，都是恶意网页代码把木马悄无声息的下载到用户硬盘上的利器。更有众多的地址欺骗漏洞，可以用来麻痹用户的警惕性。多安装一个微软的安全更新程序，就能有效免疫相当一部分网页木马。因此，如果广大用户都养成打补丁的习惯，对切断木马病毒的传播途径将具有极好的效果。 4. 网站管理也需更加严格今年 6 月，国外出现了利用 IE 漏洞可以攻击 IIS 服务器的木马病毒“斯科比”（ Trojan/Scob.a ）。所有可提供该病毒程序下载的网站在 1 天之内被全部封杀，非常有效的制止了该病毒的蔓延。相比之下，国内有些网站在长达几个月甚至更长的时间内传播了多种病毒，却依然运行。针对目前大量网站携带木马病毒，甚至公开贩卖病毒的现象，加大网站管理力度，力争从源头阻击木马病毒，使之没有扩散的机会，是防范网页木马的根本。 5. 反病毒厂商和信息安全机构加强对本土病毒的防范力度由于本土病毒通常会对国内用户造成更加直接的危害，所以国内反病毒厂商和信息安全机构都应加强对本土病毒的关注、防范和宣传力度。这样才能更好的保护国内用户的信息安全。 6. 增强全民防范意识我国计算机用户的数量增长迅猛，但很多用户对信息保护的意识还不够强。有很多用户的系统没有安装任何反病毒软件或防火墙。通过各种有效方法，向用户普及信息安全知识，提高全民的防范意识，是反病毒工作中一项重要而且长期的任务。



国家计算机病毒应急处理中心、计算机病毒防治产品检验中心版权所有 Copyright(C) 2001 Tel：86-022-66211488/66211489 转8017 Fax：86-022-66211487 Email：contact@antivirus-china.org.cn