【IT168 编者按】《2006年度中国网络安全分析报告》（简称《报告》）是中国民间组织——黑客联盟，针对中国互联网安全现状发布的分析报告。该报告从全球网络及中国网络安全简析、国内网络安全现状、国内计算机病毒现状、国内黑客攻击事件分析、国内网络安全产品以及、网络安全服务等方面，就目前信息安全状况进行了详尽分析和解读。从中我们可以看出，生产的安全与稳定，风险的控制与防范，是CIO目前最关注的问题。

    此次刊登的是《报告》的第三部分——国内计算机病毒现状篇。全篇的主要结论是：

• 计算机病毒呈现出六大发展趋势 ；
• “加壳”和“免杀”技术被广泛采用成为新病毒特点；
• 流氓软件破坏了用户对软件市场的整体信任；
• 黑客程序具备隐藏、伪装、抵御以及目的性四大特性。

    《2006年度中国网络安全分析报告》第一部分：全球警报 互联网安全保障迫在眉睫
    《2006年度中国网络安全分析报告》第二部分：网络有真实的危害 缺少应有的惩罚

    2006年12月23日，《InformationWeek》最近评出了迄今为止破坏程度最为严重的十大病毒。它们是：

    CIH病毒 1998年6月爆发于中国台湾，是公认的有史以来危险程度最高、破坏强度最大的病毒之一，估计全球损失高达约2,000万－8,000万美元，并且不包含计算机数据损失。

    梅利莎(Melissa) 1999年3月26日，星期五，W97M/梅利莎登上了全球各地报纸的头版。这个Word宏脚本病毒感染了全球15%－20%的商用PC。许多使用Outlook软件的公司措手不及，为了防止损害，他们被迫关闭整个电子邮件系统。估计全球损失高达约3亿－6亿美元。

    我爱你(ILOVEYOU) 2000年5月3日，“我爱你”蠕虫病毒首次在香港被发现。又称情书或爱虫。它是一个Visual Basic脚本，设计精妙，还有令人难以抗拒的诱饵——爱的诺言。估计全球损失高达约100－150亿美元。

    红色代码(Code Red) 2001年7月13日，红色代码蠕虫从网络服务器上传播开来，专门针对运行微软互联网信息服务软件的网络服务器来进行攻击。在短短不到一周的时间内，这个病毒感染了近40万台服务器，据估计多达100万台计算机受到感染。估计全球损失高达约26亿美元。

    SQL Slammer 也被称为“蓝宝石”(Sapphire)，2003年1月25日首次出现。它是一个非同寻常的蠕虫病毒，在十分钟之内感染了7.5万台计算机。庞大的数据流量令全球的路由器不堪重负，给互联网的流量造成了显而易见的负面影响。损失估计：由于SQL Slammer爆发的日期是星期六，破坏所造成的金钱损失并不大。尽管如此，它仍然冲击了全球约50万台服务器，韩国的在线能力瘫痪长达12小时。

    冲击波(Blaster) 2003年8月11日被检测出来并通过网络连接和网络流量迅速传播，两天之内就达到了攻击顶峰。估计全球损失高达20－100亿美元，受到感染的计算机不计其数。

    霸王虫(Sobig.F) 2003年8月19日开始迅速传播，在最初的24小时之内，自身复制了100万次，创下了病毒历史的新纪录。估计全球损失高达50－100亿美元，超过100万台计算机被感染。

    Bagle 2004年1月18日首次露面，采用电子邮件感染用户系统的机制，并复制自身传播。其上百中变种病毒造成的全球损失达到数千万美元，并且在不断增加中。

    MyDoom 2004年1月26日几个小时之间，MyDoom通过电子邮件在互联网上以比较独特的速度迅速传播，顷刻之间全球都能感受到它所带来的冲击波。在其爆发的高峰期，全球互联网的速度性能下降了10%，网页的下载时间增加了50%。它给全球互联网带来的损失已无法估计。

    震荡波(Sasser) 自2004年8月30日起开始传播，其破坏能力之大令法国一些新闻机构不得不关闭了卫星通讯。它还导致德尔塔航空公司(Delta)取消了数个航班，全球范围内的许多公司不得不关闭了系统。全球损失高达数千万美元。

    江民科技在2006年12月20日发布了针对网上银行的病毒调查报告，报告显示，从2004年8月到2006年10月期间，全国感染各类网银木马及其变种的用户数量增长了600倍，用户每月感染病毒及其变种的数量约有160种左右，而且病毒发展正在呈加速上升趋势。

    专家介绍，2004年全国被网银木马感染的计算机数量只有60台，2005年为1100台，而在2006年前10个月，已经有超过37000台电脑感染过网银木马，3年时间国内用户被网银木马感染的数量增长了600倍。

    针对网上银行存在的安全隐患，专家建议网银用户应加强自身的安全意识，定期检查安装微软安全更新程序、每天升级反病毒软件的病毒库、不要轻信不明邮件里面的内容、不要随意在不明网页上提交自己的网银账号密码、给自己计算机的管理员账号设置一个不太容易猜出来的密码，能够避免感染绝大多数的网银木马。专家认为，虽然这些很基本的措施听起来很简单，但实际情况告诉我们，目前国内大多数用户仍然没有做到这些。此外，网上银行方面应进一步加强网银交易的安全性，政府部门、金融单位和安全厂商的应紧密合作，加强三方的合作，充分利用彼此资源，更加有效的抑制网银木马、创造更加健康繁荣的网络交易环境。

    据公安部公共信息网络安全监察局发布的《2006年全国信息网络安全状况与计算机病毒疫情调查分析报告》显示，我国信息网络使用单位对网络安全管理工作的重视程度有所提高，安全状况较去年有所改善。按照行业划分，金融、证券行业信息安全管理制度和技术措施较完善。调查表明，一些单位信息安全事件处置方法和手段单一，防范措施不完善，网络安全管理人员不足、专业素质有待提高，被调查单位信息安全管理水平整体上仍滞后于信息化发展要求。

    经对调查数据统计分析，2005年5月至2006年5月间，有54%的被调查单位发生过信息网络安全事件，其中，感染计算机病毒、蠕虫和木马程序为84%，遭到端口扫描或网络攻击的占36%，垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因，占发生安全事件总数的73%。目前，网络安全产品中防火墙和计算机病毒防治产品使用率最高，分别达到81%和79%，这两类产品中75%的单位采用的是国内产品。61%的单位设置了网络安全管理人员。今年计算机病毒感染率为74%，较2005年呈下降趋势；多次感染计算机病毒的用户数量为52%。网络浏览、下载仍然是病毒传播的最主要途径，通过优盘、移动硬盘等存储介质传播病毒的情况明显增多。目前，以盗取用户帐号、密码的“间谍软件”、木马明显增多，计算机病毒本土化制作的趋势更加明显，利用计算机病毒非法牟利的情况突出。

    针对调查情况，公安部公共信息网络安全监察局有关负责人表示，公安机关将以贯彻落实《互联网安全保护技术措施规定》和开展信息安全等级保护工作为契机，加强对信息网络联网使用单位安全监督、指导，积极推进信息网络安全专业技术人员继续教育工作，加强信息网络安全预警和信息通报工作，加强信息网络安全宣传工作，加快推进健全信息安全防范体系建设，组织、指导信息网络使用单位采取科学、系统、合理的安全管理和技术防范措施，切实提高我国信息安全整体防范能力和水平。

    1、计算机病毒呈现出六大发展趋势

    2006上半年度，中国大陆地区电脑病毒疫情和互联网安全状况主要呈现六大发展新趋势：

1.     新病毒数量成爆炸式增长；
2.     商业公司大肆“流氓推广”、“流氓软件”问题仍严重；
3.     病毒“偷、骗、抢”等行为愈演愈烈，勒索木马开始流行；
4.     病毒传播手段多元化，网站、U盘等成为新渠道；
5.     应用软件漏洞受黑客亲睐；
6.     概念型病毒呈现跨平台趋势。

    据瑞星全球反病毒监测网统计数据显示，新病毒的数量正在逐年递增，并且增长速度越来越快。

    2004年上半年，瑞星截获新病毒11835个，2005年同期，新病毒数为26927个，而在2006年度，新截获的病毒数量飙升到了119402个，相当于过去几年截获病毒数量的总和。在今年病毒较为泛滥的时期，一天内截获的新病毒比2005年一个月截获的病毒还要多。

    尽管新截获的病毒数量呈爆炸性增长，但其种类数并没有增加。老病毒的新变种占据了大部分。有时，在一天内就能够截获同一病毒的数十个不同变种。

    1.1、我国计算机用户病毒感染情况

    据报告显示，今年计算机病毒感染率为74%，继续呈下降趋势；多次感染病毒的比率为52%，比去年减少9%。这说明我国计算机用户的计算机病毒防范意识和防范能力在增强。2005年5月至2006年5月，全国没有出现网络大范围感染的病毒疫情，比较突出的情况是，今年5、6月份，出现了“敲诈者”木马等盗取网上用户密码的计算机病毒。计算机病毒制造、传播者利用病毒盗取QQ帐号、网络游戏帐号和网络游戏装备，网上贩卖计算机病毒，非法牟利的活动增多。

    1.2、计算机病毒造成的损失情况

    今年调查结果显示，计算机病毒发作造成损失的比例为62%。浏览器配置被修改、数据受损或丢失、系统使用受限、网络无法使用、密码被盗是计算机病毒造成的主要破坏后果。

    1.3、我国计算机病毒传播的主要途径

    网络浏览或下载仍是感染计算机病毒最多的途径。通过优盘等移动存储介质传播病毒的比率明显增加。这是由于优盘应用日益广泛，优盘支持程序自动运行，计算机病毒通过Autorun.inf文件自动调用运行病毒程序，从而感染用户计算机系统。因此，对移动存储介质的管理有待加强。

    1.4、我国最流行的十种计算机病毒

1. Trojan.DL.Agent（木马代理）
2. Phel（下载助手）
3.  Gpigeon（灰鸽子）
4. Lmir/Lemir（传奇木马）
5. QQHelper（QQ助手）
6. Delf（德芙）
7. SDBot
8. StartPage
9. Lovgate（爱之门）
10. Qqpass（QQ木马）

    1.5、2006年代表性病毒

    1.5.1、图形漏洞

    图形漏洞首次打破了普遍认为病毒和图形文件没有关联的观念。利用图片漏洞，恶意代码或者BMP木马，电脑黑客可以很轻巧地把一个病毒文件安放在用户电脑上并且神不知鬼不觉地运行，加上黑客们熟练的社会工程学，令原本漂亮的图片从此成为被诅咒的油画。

    1.5.2、安莱普(Worm.Anap.b)

    一个伪装知名厂家，诱骗用户打开附件的病毒，其传播手段和求职信极为相似，虽然求职信当年威风八面，开创了网络欺骗的先河，不过相同的技术运用在黑客手中依然不失祖师爷的悠久历史威力，也由此产生了一系列的伪装型病毒。使用户防不胜防。

    1.5.3、恶鹰(Worm.Beagle.gf)

    该病毒主要是变种多而快。关闭安全软件，并将自身驻入到系统正常进程，从而达到隐藏自身的目的，当用户点击该图标时，病毒运行时间会先于windows自带的计算器的时间，因此用户很难发现该病毒的入侵。

    1.5.4、威金(Worm.Viking.m)

    exe文件感染病毒。病毒运行后伪装成系统正常文件，通过共享目录、弱密攻击、感染系统文件、做为邮件的附件等方式进行传播，感染后难以清除，或清除时要付出很大代价，一些杀软因为无法清除病毒索性把染毒文件删除致使系统瘫痪。

    1.5.5、敲诈(Win32.Hack.SnuHay.a)

    “敲诈”木马的主要特点是试图隐藏用户文档，让用户误以为文件丢失，病毒乘机则以帮用户恢复数据的名义要求用户向指定的银行账户内汇入定额款项。病毒通过利用用户的防范心理，从而达到获得金钱的目的，好比如一个成功的社会工程学。

    1.5.6、文件杀手(Troj.KillFiles.jz)

    感染不成，干脆来个文件大歼灭，文件杀手主要是删除用户的重要文件，结束系统特定进程并使系统无法正常启动，虽然并不会偷取密码等重要资料，也就是不是以获利为目的，不过其破坏作用和维金相似。

    1.5.7、驱动号(Worm.Driveletter)

    该病毒最主要的亮点是感染移动储存器，开创了利用移动储存器传播病毒的先河，在随后的变种当中更加入了结束杀毒程序，关闭系统安全中心，开辟后门以及下载其他类型病毒的特性。虽然病毒科技含量不高，但无疑令用户对移动储存器产生了防范心理

    1.5.8、魔鬼波(Worm.IRC.WargBot.a)

    四级高危病毒。除降低系统安全级别，使系统被黑客进行远程控制等一般特性外，还针对Windows系统服务缓冲区溢出漏洞（MS06-040）进行主动攻击，造成系统崩溃、网络瘫痪，用户无法上网。相当多没有及时安装微软补丁的用户都受到这病毒的攻击，造成数以千记的企业瘫痪。是一个非常恐怖的病毒！

    1.5.9、幽灵(Win32.Troj.PcGhost.a)

    该病毒同时运用了驱动级和用户级的Rootkit技术，使自身文件达到高度隐藏和保护状态，从而出现大量死灰复燃的情形，令杀毒程序束手无策。同时病毒破坏系统安全模式注册表键值，阻止冰刃等工具运行，加上多个文件实时监控和保护。即使熟悉病毒原理且有一定杀毒经验的高手也在清除病毒遇到一定麻烦

    1.5.10、洪水(Win32.Troj.ADDL_Flood.aa.151552)

    这是个将TCP、UDP flood攻击程序与一个广告下载器捆绑在一起的流氓软件。该流氓软件会接收木马种植者的命令来攻击指定的IP地址，从而造成被攻击者网络瘫痪，也会造成攻击者所在的局域网网络瘫痪。

    软件查杀日志文件分析发现，“木马代理”和“下载助手”是传播最广的两种计算机病毒。这两种计算机病毒可以从指定的网址自动下载木马或恶意代码，运行后盗取用户的账号、密码等信息发送到指定的信箱或网页。“传奇木马”和“QQ木马”能够窃取用户的游戏帐号和密码。“灰鸽子”和“德芙”具有后门功能。SDbot病毒使计算机系统一旦感染后就会成为“僵尸”计算机，受黑客的远程控制。“爱之门”病毒主要通过邮件和系统漏洞传播。StartPage会导致浏览器自动访问指定的或含有恶意代码的网站。当前我国网络流行病毒的本土化趋势更加明显，很多病毒主要是针对国内一些应用程序专门制作的。 针对调查中反映出来的问题，建议信息网络联网单位进一步健全、完善信息安全管理制度，落实技术保护措施，加强用户信息安全防范宣传。

    2、“加壳”和“免杀”技术被广泛采用成为新病毒特点

    对2006年截获的新病毒分析统计，其组成部分与2005年基本类似，灰鸽子后门、盗号木马、波特类后门等病毒的变种仍然占到了绝大部分。造成变种病毒数量激增的原因主要有两个：

    2.1、“加壳”手段被黑客广泛利用

    所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变（目前还有一些加壳软件可以压缩、加密驱动程序），以达到缩小文件体积或加密程序编码的目的。“加壳”就像给病毒文件穿了“马甲”，对于识别能力不强的杀毒软件就会被这件“马甲”蒙蔽，而放过病毒。

    当被加壳的程序运行时，外壳程序先被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压缩，并把控制权交还给脱壳后的真正程序。一切操作自动完成，用户不知道也无需知道壳程序是如何运行的。一般情况下，加壳程序和未加壳程序的运行结果是一样的。

    众所周知，目前杀毒软件主要依靠特征码技术查杀病毒。由于加壳软件会对源文件进行压缩、变形，使加密前后的特征码完全不同。对于脱壳能力不强的杀毒软件，对付此种病毒就需要添加多条不同的特征记录。而如果黑客再采用一种新的壳进行加密变形，则对于此类杀毒软件来说又是一个新的病毒，从而无法查杀。

    从上半年瑞星截获的病毒样本统计，约有90%以上的病毒文件进行过“加壳”处理。而国内较为流行的“灰鸽子”木马，加壳率几乎达到100%。有些病毒为了躲避杀毒软件的查杀，甚至加了三、四层壳。

    2.2、“免杀”技术开始被采用

    所谓“免杀”，是指通过特殊技术处理，修改病毒文件，使已知病毒逃过杀毒软件的查杀。

    目前，杀毒软件大多采用特征码技术进行查毒，当发现被扫描的文件中包含有杀毒软件病毒库中的特征时就会报告相应的病毒名称。目前，许多黑客和病毒制造者通过查找病毒文件中被杀毒软件扫描的特征部分，加以修改，使其特征值与杀毒软件的病毒库不匹配，从而躲过杀毒软件的查杀。

    3、流氓软件破坏了用户对软件市场的整体信任

    风险程序是指绝对不含有主动传播行为的程序，包含各类广告软件、浏览器劫持、间谍软件、恶意共享软件、行为记录软件和一些可被利用的工具软件、恶作剧程序，同时也被叫做流氓软件。 以下五种程序将被定义为风险程序：

    3.1、广告软件(Adware)，指未经用户允许，下载并安装在用户电脑上;或与其他软件捆绑，通过弹出式广告等形式牟取商业利益的程序。

    此类软件往往会强制安装并无法卸载;在后台收集用户信息牟利，危及用户隐私;频繁弹出广告，消耗系统资源，使其运行变慢等。

    用户安装了某下载软件后，会一直弹出带有广告内容的窗口，干扰正常使用。

    还有一些软件安装后，会在IE浏览器的工具栏位置添加与其功能不相干的广告图标，普通用户很难清除。

    3.2、浏览器劫持，是一种恶意程序，通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，弹出广告，甚至被强行引导到其他网站。

    用户在浏览网站时会被强行安装此类插件，普通用户根本无法将其卸载，被劫持后，用户只要上网就会被强行引导到其指定的网站，严重影响正常上网浏览。

    一些不良站点会频繁弹出安装窗口，迫使用户安装某浏览器插件，甚至根本不征求用户意见，利用系统漏洞在后台强制安装到用户电脑中。这种插件还采用了不规范的软件编写技术(此技术通常被病毒使用)来逃避用户卸载，往往会造成浏览器错误、系统异常重启等。

    3.3、间谍软件(Spyware)，是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。

    用户的隐私数据和重要信息会被“后门程序”捕获，并被发送给黑客、商业公司等。这些“后门程序”甚至能使用户的电脑被远程操纵，组成庞大的“僵尸网络”，这是目前网络安全的重要隐患之一。

    某些软件会获取用户的软硬件配置，并发送出去用于商业目的。

    3.4、恶意共享软件(malicious shareware)，是指某些共享软件为了获取利益，采用诱骗手段、试用陷阱等方式强迫用户注册，或在软件体内捆绑各类恶意插件，未经允许即将其安装到用户机器里。

    使用“试用陷阱”强迫用户进行注册，否则可能会丢失个人资料等数据。软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。

    用户安装某款媒体播放软件后，会被强迫安装与播放功能毫不相干的软件(搜索插件、下载软件)而不给出明确提示;并且用户卸载播放器软件时不会自动卸载这些附加安装的软件。又比如某加密软件，试用期过后所有被加密的资料都会丢失，只有交费购买该软件才能找回丢失的数据。

    3.5、行为记录软件(Track Ware)，是指未经用户许可，窃取并分析用户隐私数据，记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。

    行为记录软件危及用户隐私，可能被黑客利用来进行网络诈骗。

    一些软件会在后台记录用户访问过的网站并加以分析，有的甚至会发送给专门的商业公司或机构，此类机构会据此窥测用户的爱好，并进行相应的广告推广或商业活动。

    3.6、恶作剧程序，本身没有过激危害，但影响正常工作的一类程序。

    在2006年，90%以上系统都安装或曾经安装了各种风险程序，这是对“严重”一词最有力的解释。曾经被网民票选统计出来的2006年十大流氓软件中，雅虎上网助手（原3721上网助手）名列榜首。它经常不知不觉的潜入电脑，添加用户不需要的按钮、IE工具条、在地址菜单项中添加非法内容，还修改注册表设置开机自动启动。此外，它经常集成在其它小工具软件的安装程序中，特别是那些网上下载的汉化软件、破解软件。不经意间，它就被悄悄植入了你的电脑。更令人深恶痛绝的是它还干扰其他软件运行，并且无法彻底卸载。

    广告木马、流氓软件应该属于风险程序，它不像病毒一样具有自动传播和恶意破坏的行为。但它通常通过网页下载、共享软件捆绑安装等方式悄悄的安装到用户系统。并且具有自动升级、高度隐藏、难以卸载等特点。广告木马不惜一切代价侵入系统，经常是安装一个普通的共享软件会跟着安装数十种广告软件。这些广告软件无限的抢占系统资源、或互相冲突，常常引发系统的不稳定，并且乱弹广告严重影响正常的网络工作和生活，是目前最具争议的“恶意”程序。打引号的原因是：用户说“这是病毒”，广告厂商说“我们不是病毒”。

    在奇虎的总裁的文章《宽容对待共享软件》中，我们可以看到答案：

    “说起流氓软件，由于宣传的原因，现在不少人似乎都认为只要是通过捆绑方式进行推广的软件都是流氓软件。单纯凭软件的推广方式作为其是否“流氓”的判断依据，这是一个危险的、起码是不负责任的舆论导向，其最大的危害，就是它可能导致这样的结果：我们最终抓住并无情地以舆论或者法律手段去鞭挞的，往往并不是危害最大的流氓软件。而对流氓软件标准问题的模糊，不仅放过了真正的“流氓”，还极易殃及大量的共享软件作者，使本就弱小的共享软件的生存环境更趋恶劣。

    真正的流氓软件制造者并不是这些不得已而为之的个体。打击流氓软件，关键要打击那些在产业链上游制造、花钱散布软件的“流氓企业”。否则的话我非常担心一点，别最后在中国我们只打“小流氓”，却任由“大流氓”来制定所谓标准。

    无论是我们出“360安全卫士”去帮助用户清剿流氓软件，还是有些公司和个人对流氓软件冲冠一怒对簿公堂，大家的目的都是希望软件行业能变得更干净。共享软件作者需要明白的是，流氓软件横行，对广大的共享软件作者来说也是有危害的，它破坏的是公众对整个软件市场的基本信任。一个流氓软件就可能装几千台机器，当流氓软件遍布的时候，共享软件还能有市场吗？今天在美国，人们已经不敢从网站上下载软件了，流氓软件破坏了用户对软件市场的整体信任，这是前车之鉴。”

    4、黑客程序具备隐藏、伪装、抵御以及目的性四大特性

    黑客程序是指黑客开发的各种为了完成某种需要或获得某种信息而编写的程序，自网络诞生起，它们就存在了。在2006年，黑客程序经过长期的完善，具备了四个典型的特性：隐藏性、伪装性、目的性以及抵御性。

    4.1、隐藏性

    新近产生的黑客程序具备了强大的隐藏性，它们遍及系统的各个不为人注意的角落，如注册表某些不常用的键值，系统文件夹、隐藏文件夹、常见程序文件夹等等，都是它们隐藏的地方。

    在国内比较著名的黑客工具灰鸽子，最善于利用微软的操作系统进行隐藏自己，它隐匿在系统文件夹中，同时产生系统级守护进程，防止被杀毒软件查杀。

    在程序文件夹中比较常被利用的就是腾讯即时通讯工具QQ，它的超大体积文件夹和数不清的文件成为滋生黑客程序的温床。

    4.2、伪装性

    所有的黑客程序都是一个寄生虫，因此在它们寻找寄生的温床时，必须要一定的伪装性，它们可以修改自己本身的程序图标，伪装成各种系统文件，安装程序，杀毒软件等等，无所不及。

    在著名的网络游戏《传奇》的盗号木马中，有很多就使用了Windows的记事本图标和文件夹图标。而在另外一个网络游戏《大话西游》中，盗号木马则大多采用了WinRAR的安装程序格式，把木马附带在游戏客户端更新包中，当安装更新的时候，黑客程序被WinRAR的安装程序悄悄启动并安装在系统中。

    4.3、目的性

    所以的黑客程序越来越确定自己需要做什么，需要获得什么样的信息了。它们需要获得的一般有网络游戏账号，操作系统管理账号，网络通讯工具账号以及数据库管理账号。例如在2004年发现的“网银大盗”黑客程序，它把目标直接指向在网络上进行电子商务操作的网络银行用户，它通过键盘记录的方式，监视用户操作。当用户使用个人网上银行进行交易时，它就会恶意记录用户所使用的帐号和密码，并将盗取的帐号和密码发送给作者，造成经济损失。

    更多的黑客程序会把目标范围扩大的一个特定的网络浏览群体。黑客会入侵一个比较知名的并且存在漏洞的网络游戏网站，将木马挂载在网站的首页，网络游戏爱好者浏览该网站的时候，会在不知不觉中被种植木马，从而丢失个人信息数据，更有甚者会沦为傀儡机，被黑客所操控攻击别人。

    4.4、抵御性

    在2006年，黑客程序更是增加了新的功能，即：程序的抵御功能。在越来越多的杀毒厂商把黑客程序列为病毒的时候，黑客们也将目标扩大到杀毒软件身上。几乎所有的黑客程序都采用了加壳的做法，来改变自身特征码，借以逃避杀毒软件的查杀。

    此外，新的黑客程序被植入一个系统中的时候，将会扫描系统内存在的杀毒软件，并将其进程杀死，甚至卸载该杀毒软件或防火墙。当把系统内安装的杀毒软件或防火墙进程全部杀死时，黑客程序才开始正式运作，启动自己的真正功能，窃取用户信息。

    并且，黑客程序的抵御功能已经被用在2006年的众多流氓软件当中。例如，雅虎上网助手（原3721上网助手）在对抗奇虎的360SAFE软件当中，也曾经使用了毁灭程序。经安全程序员分析，雅虎上网助手在安装过程中，首先清除掉360Safe的守护进程，破坏360Safe的防护机制，然后才进行安装自身程序。并且在雅虎上网助手安装在用户系统中后，360Safe程序的再次安装将被系统无条件终止而无法完成安装。

    这件事在网络上引起轩然大波，奇虎指责雅虎使用了不正当竞争手段，而雅虎则在公开新闻发布会上声称自己冤枉。至于冤枉是真是假，所有的程序员一看便知。

    在2006年，黑客程序的攻击性也越来越强大，例如沦为僵尸网络一部分的个人上网电脑，在一次又一次的网络拒绝服务攻击中对中国网络阻塞造成了无法估量的损失。

    在2007年，我们可以预见，黑客程序的对抗性会越来越强，针对性也会越来越多，众多杀毒厂商也已经将杀毒软件的扫描机制升级。例如瑞星杀毒软件已经开发出可以脱壳的杀毒软件，利用虚拟机制来脱壳程序外壳，来确认程序的可靠性。

    但是，我们无法预见的是黑客程序的真实目的，在黑客程序的攻防战争中，我们的网民们依旧无法擦亮双眼，依旧无法看清楚他们下载的每一个软件、每一个程序中是否包含恶意代码、程序。网络的进步带来了更多的新技术，不断被黑客所利用，而我们的网民的安全意识却依然停留在一个迟钝的时代，无法分清真伪。 这的确是一个极为可悲的事实。

    《2006年度中国网络安全分析报告》第一部分：全球警报 互联网安全保障迫在眉睫
    《2006年度中国网络安全分析报告》第二部分：网络有真实的危害 缺少应有的惩罚