2、“加壳”和“免杀”技术被广泛采用成为新病毒特点

    对2006年截获的新病毒分析统计，其组成部分与2005年基本类似，灰鸽子后门、盗号木马、波特类后门等病毒的变种仍然占到了绝大部分。造成变种病毒数量激增的原因主要有两个：

    2.1、“加壳”手段被黑客广泛利用

    所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变（目前还有一些加壳软件可以压缩、加密驱动程序），以达到缩小文件体积或加密程序编码的目的。“加壳”就像给病毒文件穿了“马甲”，对于识别能力不强的杀毒软件就会被这件“马甲”蒙蔽，而放过病毒。

    当被加壳的程序运行时，外壳程序先被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压缩，并把控制权交还给脱壳后的真正程序。一切操作自动完成，用户不知道也无需知道壳程序是如何运行的。一般情况下，加壳程序和未加壳程序的运行结果是一样的。

    众所周知，目前杀毒软件主要依靠特征码技术查杀病毒。由于加壳软件会对源文件进行压缩、变形，使加密前后的特征码完全不同。对于脱壳能力不强的杀毒软件，对付此种病毒就需要添加多条不同的特征记录。而如果黑客再采用一种新的壳进行加密变形，则对于此类杀毒软件来说又是一个新的病毒，从而无法查杀。

    从上半年瑞星截获的病毒样本统计，约有90%以上的病毒文件进行过“加壳”处理。而国内较为流行的“灰鸽子”木马，加壳率几乎达到100%。有些病毒为了躲避杀毒软件的查杀，甚至加了三、四层壳。

    2.2、“免杀”技术开始被采用

    所谓“免杀”，是指通过特殊技术处理，修改病毒文件，使已知病毒逃过杀毒软件的查杀。

    目前，杀毒软件大多采用特征码技术进行查毒，当发现被扫描的文件中包含有杀毒软件病毒库中的特征时就会报告相应的病毒名称。目前，许多黑客和病毒制造者通过查找病毒文件中被杀毒软件扫描的特征部分，加以修改，使其特征值与杀毒软件的病毒库不匹配，从而躲过杀毒软件的查杀。