5、病毒传播突显“长尾”理论

 
图（8）

    在2007年度的10大病毒中，几乎无一例外，具有变种多的特征。很多人以为AV终结者是一个病毒，实际上是一大批具备相似现象的病毒集合。下半年很多用户知道Auto病毒，不少人认为这是一种病毒，而事实上，利用U盘的自动运行功能传播的病毒成百上千，这些病毒还具备Av终结者的特征。

    AV终结者、Auto病毒、木马下载器泛滥，和一两年前相比，病毒传播的趋势发生了巨变。现在的情况是，每个盗号团伙释放的木马，只影响或入侵部分网络，而不象以前那样尝试入侵所有的网络终端。因为是人为释放的结果，盗号团伙可以很容易的控制木马更新版本，以逃避查杀。位于这个“长尾”下被入侵的计算机总数相当庞大。

    这种状态下，对杀毒软件的挑战是越来越多的病毒木马难以被监测网捕获，或者在捕获这些木马前，这些木马有着较长的生存时间。杀毒软件更快更准的捕获这些病毒，将会给用户提供更多的安全。到目前为止，杀毒厂商和制毒贩毒者之间猫捉老鼠的游戏，还远未终结。

    如何打破病毒和杀毒的僵局，金山毒霸的研发人员在探索全新的反病毒方法。首先使用网络爬虫技术，自动收集互联网出现的二进制程序；其次，在金山毒霸2008中，独有的三维互联网防御体系，通过行为拦截技术，发现并上报危险程序；通过自动化分析与人工分析相结合，对收集上来的程序进行快速甄别。利用该技术，缩短了金山毒霸对病毒、木马的响应时间。

    6、病毒传播方式多样化 相互模仿严重

    病毒/木马制作模仿现象严重，一些病毒制作者将现有的病毒制作技术进行重新的搭配，使其获得更大的危害程度。2007年公布的10大病毒中，“灰鸽子”对应“网络红娘”，“熊猫烧香”对应“瓢虫”，他们只是在出现的时间不同，其传播和危害的方法都如出一辙。

    互联网的高速发展带来病毒制作技术的不断翻新，但制作创意更易被病毒作者所接受。在熊猫烧香出现时间和瓢虫病毒出现时间之间，也同样出现了很多相似的病毒，如：“神奇小子”，这说明“熊猫烧香”的病毒制作创意受到了病毒作者的追捧，到年底“瓢虫”这一“改良”后的“熊猫烧香”差一点就成为毒王。

    近年来病毒/木马泛滥的主要原因是制作门槛的降低，许多的黑客网站提供了相应的教学方法，让VXer(病毒作者的简称)大量出现，而今年这种通过创意模仿并改进的病毒的增多更加成为一个较鲜明的特点。相比病毒/木马的传播和破坏在技术上的改进，制作病毒的“创意”可能会成为病毒/木马界新焦点。

    除了上述六大特点外，2007年，各类病毒百花齐放，以各种传播方式不断进攻互联网，其中三大类病毒的数量明显增多：
 
    1、对抗杀毒软件和破坏系统安全设置的病毒明显增多
    对抗杀毒软件和破坏系统安全设置的病毒以前也有，但07年从AV终结者病毒爆发之后，此类病毒便频繁出现。主要是由于大部分杀毒软件加大了查杀病毒的力度，使得病毒为了生存而必须对抗杀毒软件。这些病毒使用的方法也多种多样，如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用windows自动升级等功能。

    2、利用可移动磁盘传播的病毒明显增多
    随着可移动磁盘技术的不断发展，以及可移动磁盘价格下降，拥有可移动磁盘的用户也大量增加，病毒也开始趁机作乱，除了蠕虫，普通的木马很多也会通过可移动磁盘进行传播，主要方式是复制一个病毒体和一个Autorun.inf文件到各盘。如果用户插入可移动磁盘，可移动磁盘将会被感染，然后当可移动磁盘插入另一台机器，Autorun.inf发生作用，启动病毒感染计算机。

    3、感染型病毒持续增多
    感染型病毒曾经是Dos时代病毒的特点，进入windows之后，感染型病毒的量下降很多。但随着2006年的维金和2007年初的熊猫烧香病毒“风靡”全国之后，从金山毒霸病毒监测系统显示，感染型病毒不断增多，除了传统的感染方式，还新增了如瓢虫、小浩等覆盖式感染，这种不负责任的感染方式将导致中毒用户机器上的被感染文件无法修复，带来毁灭性的损坏。因此建议用户使用正版杀毒软件，并开启实时监控，能够在病毒运行起来之前将其查杀。