第一部份、2004年回顾

　　公安部统计，今年在对7072家重要信息网络、信息系统使用单位中，发生网络安全事件的比例为58%。其中，发生1次的占总数的22%，2次的占13%，3次以上的占23%。发生的网络安全事件中，计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79%，拒绝服务、端口扫描和篡改网页等网络攻击事件占43%，大规模垃圾邮件传播造成的安全事件占36%。54%的被调查单位网络安全事件造成的损失比较轻微，损失严重和非常严重的占发生安全事件单位总数的10%。

　　据统计，在今年五月份病毒总数就超过了2003年全年总和，同时公安部发布的调查表明，我国计算机用户电脑病毒的感染率为87。9%，比去年增加了2%。但是，3次以上感染计算机病毒的用户数量有较大回落，占全部感染用户数量的57。1%，比去年减少了26%，表明受过病毒感染用户的防范能力有所提高。

　　面对当前复杂的安全形式，我们没法面面俱到的来谈这些问题，我们将从几个重大的方面来对今年的安全状况进行一个简单的分析:

　　一、病毒

　　漏洞、邮件病毒是目前威胁用户的主要因素，随着网络应用的深入，宽带用户的增加，个人电脑用户也越来越多地面临着邮件与漏洞这两类病毒的侵扰。

　　今年上半年，全世界就爆发了SCO炸弹(Worm。Novarg)、网络天空(Worm。Netsky)、恶鹰(Worm。Bbeagle)、震荡波(Worm。Sasser)这四个重大疫情，在下半年又出现了"MSN射手"，针对网络银行的病毒；针对即时通讯软件的病毒(如QQ小尾巴。MSN射手等病毒)；同时针对手机的病毒也在不断的出现（虽然现在的危害还不大，但如果照这种情形发展下去，将来手机病毒将会成为继电脑病毒后又一大危害）。

　　今年的出现的病毒有几大特点:感染用户数量多；变种多(爱情后门(Worm。Lovgate)到恶鹰(Worm。Bbeagle)，他们分别已经出现了97个和49 个变种)；传播途径多样化且速度变快(除了通过现在的即时通讯工具传播的新方法外，现在又出现了通过FLASH传播的木马病毒)，通过邮件传播的病毒多，窃取网络游戏信息的木马多，病毒具有反监控的功能(恶性程序将会继续于病毒程序代码中，设法让防毒软件、个人防火墙、反木马软件等监控程序，无法发挥预期的作用)这几个大的特点。

　　下面我们就分析一下几类病毒造成的影响以及危害:

　　蠕虫病毒:今年出现了SCO炸弹(Worm。Novarg)、网络天空(Worm。Netsky)、恶鹰(Worm。Bbeagle)、震荡波(Worm。Sasser)。MSN射手等蠕虫病毒，这些病毒的出现给经济带了巨大的损失，光震荡波一种病毒就给全球经济造成了几百亿美元的损失。

　　木马病毒:今年出现了很多新的木马病毒，并且传播的方式也在不断的变化中，通过即时通讯工具传播的病毒，花样不断在变新，同时今年出现了通过FLASH传播的木马病毒，木马病毒传播途径的不断变化给我们防止它们也造成了很大的不便，所以这就有可能给我们造成较大的损失。比如今年出现的针对网络银行的病毒，如果中了该病毒你就会造成非常大的经济损失。

　　下面请看几种典型病毒的传播方式，特征以及影响：

　　1、震荡波：

　　4月30日震荡波（Sasser）病毒被首次发现，短短一个星期时间之内就感染了全球1800万台电脑，成为今年当之无愧的“毒王”。它利用微软公布的Lsass漏洞进行传播，可感染WindowsNT/XP/2003等操作系统，开启上百个线程去攻击其他网上的用户，造成机器运行缓慢、网络堵塞。“震荡波”病毒在全球带来的损失已达5亿美元

　　据相关统计，“震荡波”造成的损害——73%需要防毒公司解救中毒的计算机，63%的中毒者工作被影响﹔30%的人说，为“震荡波”善后花了至少10个小时，而估计处理“震荡波”造成的计算机损害要花9.97亿美元。

　　震荡波蠕虫破坏方式：

　　在本地开辟后门。监听TCP 5554端口，做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。 病毒开辟128个扫描线程。以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。

　　震荡波蠕虫病毒特征：

　　根据分析，“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑，并直接引导这些电脑下载病毒文件并执行，因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。

　　“震荡波”病毒的发作特点，类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒，那就是造成电脑反复重启。

　　2、Mydoom蠕虫

　　2004年1月27日和28日，网络蠕虫“Mydoom”及其变种“Mydoom.B”相继开始在互联网上迅速传播。2月2日上午9：00，CNCERT/CC已经抽样监测到发送带蠕虫的邮件1170多万次。预计，MyDoom将带来40亿美元的损失。

　　Mydoom蠕虫破坏方式：

　　大量发送病毒邮件，浪费网络和系统资源；大量病毒垃圾邮件可能造成中小型邮件服务器极不稳定，甚致崩溃的现象；

　　自动从网络中下载后门木马，并立即执行。

　　Mydoom蠕虫病毒特征

　　Mydoom.o是一种经电子邮件广泛传播的病毒，它可利用自身SMTP引擎创建邮件信息。该病毒从被感染机器上获取邮件地址，并将自身发送到所获取的“寄件人”地址里。附件可能是有多个后缀的.exe文件或.zip文件。该病毒还可中止安去程序的运行。

　　3.msn骗子

　　MSN骗子传播方式

　　“MSN骗子（Worm.MSN.funny）”病毒同时感染MSN和QQ两种主流即时聊天软件，它传送名为“FUNNY.EXE”的文件，用户点击该文件后就会中毒。这种“双传播”技术使得病毒传播感染速度非常快，在短短的两个小时之内就在网上达到了传染高峰，传播速度可以和“震荡波”、“冲击波”相比。

　　用户被感染后，病毒会通过QQ和MSN发送“一家新开的酒吧，晚上聚聚，这里有介绍http://www.××78p.com，记得给我电话”，“对中国威胁最大的十个国家!列表http://www.××78p.com”，“《中国农民调查》页页血泪，惊动中央 转自网易http://www.××78p.com”，“我见过最漂亮的视频MM (不看可别后悔) http://www.××78p.com”等信息，并发送名为“FUNNY.EXE”的文件。部分被感染用户的MSN和QQ聊天窗口会被隐藏，导致无法正常使用。

　　MSN骗子技术特征：

　　病毒运行后，将创建自身的复本：如（%WinDir%\rundll32.exe, 56320字节）。在注册表中添加下列启动项，这样，在Windows启动时，病毒就可以自动执行。并把MSN强制设置为开机自动运行。向用户的MSN在线好友发送下列信息，并会发送病毒程序。修改%SystemDir%\drivers\etc\hosts文件，把900多个常用网站重定向到222.89.98.***，目前该网站无法正常连接。