资深安全专家带您全面解剖“***下载者”

【51CTO.com 专家特稿】 诚信网安－－子明
Trojan-Downloader.Win32.VB.vz
Trojan-Downloader.Win32.INService.gen
Trojan-Downloader.Win32.Harniq.bb
Trojan-Downloader.Win32.PassAlert.i
Trojan-Downloader.Win32.Agent.td
Trojan-Downloader.Win32.IstBar.nj
上面这些都是我和国内某安全实验室近期收集的病毒统计数据中排名前20的病毒。这些病毒都属于分布最广、危险程度最高的Trojan-
Downloader***，这些病毒很大一部分是为了盗取网络游戏帐号并衍生到网上银行的支付系统中的用户数据等用户敏感信息而设计的。所以造成的危害相
当巨大，而在互连网上还有更多此类的***，并且分布的很广泛。就潜在的经济损失而言，特洛伊***比邮件蠕虫等更厉害。这种类型的恶意程序总是不停的监控一
些风险站点，并下载其他恶意程序和广告程序的最新变种。如果一台计算机感染了Trojan-Downloader，那么往往意味着更多恶意程序的聚会。
2006年7月20日，国内某安全实验室的CERT小组，发出了一个针对近日来多次变种的名为Delf的病毒的病毒预警，这个病毒在运行后，会连接到http://www.*****5.com，下载若干个文件到本地运行并安装，这就属于典型的Trojan-Downloader***。该CERT对此类病毒进行了初步的比较和分析，总结出其特点、形成、发展趋势以及防御方法。
一 什么是Trojan-Downloader***？
特洛伊***(Trojan)病毒，是指隐藏在正常程序中的一段具有特殊功能的恶意代码，具备破坏和删除文件，发送密码，记录键盘和***等功能，会使用户系统被破坏甚至瘫痪。恶意的***程序也具有计算机病毒的特征。
Trojan-Downloader***，有计划的，试图隐藏的通过文件传输协议，从远程网络中下载恶意程序，与普通***不同，
Downloader类***运行后，并没有破坏受影响的系统，只有等到能链接远程网络后，它才试图通过文件传输协议访问网站或网页，下载特点恶意程序。
为了实现下载文件的功能，Trojan-Downloader***，通常包含的信息是关于恶意程序下载和安装的名字和网络位置，这些信息通常储存为
一个加密的数据模块，被存放在TrojanDropper文件尾部。这些程序可以被用做安装和下载最新版本的恶意程序，并且在用户不知情的情况下安装***
程序。
Trojan-Downloader***一般采用加壳的方式，来隐藏其内容，躲避杀软的查杀。通常是做为电子邮件附件来传播。
二 Trojan-Downloader***，具有哪些特点？
Trojan-Downloader类***出现的频率相当高，由于很多此类***只是负责下载其他恶意程序，并不修改系统注册表等信息，自身也不添加任何文件到受感染的系统，属于一次性病毒，所以隐蔽性很强，造成的影响很坏且不易被察觉。
究竟该类***通过什么方式下载恶意程序到用户电脑？
如何躲避防火墙或者系统监控软件的监视来下载文件呢？
究竟***作者编写此类***的最终目的是什么呢？
带着这些问题，该CERT对此类***进行大量详细分析后，总结出Trojan-Downloader***共有的一些特点：
1.此类病毒最显著的共同特征。
Trojan-Downloader类***，最显著的共同特征，就是在运行后，会自动下载其他恶意程序到受影响的系统。

2.此类病毒的形成和发展趋势。
目前常见的Trojan-Downloader类***，主要使用VC等编程工具编写，近年来，病毒作者，针对该类病毒，引入了VBscript，Javascript等脚本语言来编写，利用某些杀毒软件缺乏对恶意脚本的查杀能力，来达到躲避反病毒软件查杀的目的。
3．Trojan-Downloader病毒的传播方式。
Downloader类***，主要采用电子邮件附件的方式传播，同时也采用及时聊天工具，网页恶意脚本等方式来传播。
4.Downloader类***，如何下载恶意程序到用户电脑。
当Trojan-Downloader类***运行后，会通过各种方式连接到外部网络中，下载***作者希望下载的其他恶意程序，通常采用以下几种方式：
（1）HTTP服务器
***所有者创建包含恶意程序的网站，当Downloader类***运行后，访问该网站，下载新的特洛伊，病毒，蠕虫或其他恶意程序。
（2） FTP服务器
***所有者搭建一个拥有公网IP地址的FTP服务器，然后在***程序中指定该服务器地址。一旦***运行后，就主动链接此服务器，下载恶意程序。
（3）TFTP服务器
类似于FTP服务器，只不过类型不一样，此类服务器上传小文件时，有一定的速度优势。
（4）IRC服务器
病毒会建立共享网络文件夹，通过连接IRC服务器加入频道接受命令进行破坏操作或进行重要信息搜集工作.
5.变化多端，穿墙有术。
在Trojan-Downloader类***感染的用户电脑上，可能安装有防火墙或者系统监控软件，此时普通的下载方法就无法下载病毒了。Trojan-Downloader类***，就开始使用各种各样的“穿墙术”了。
（1）针对防火墙应用程序访问规则的穿墙方法。
病
毒常采用的“穿墙术”，主要是在病毒启动后释放一个动态链接库文件，然后将这个动态链接库文件插入系统进程或其他正常程序的进程体内运行，而病毒的绝大部
分功能全部包括在这个动态链接库中，之后病毒自身的进程退出，这样在系统中就找不到病毒的进程了，但是实际上很多的系统进程内部都已经有病毒模块在运行，
防火墙就无法防范了。
比如有的病毒，将自己的DLL部分注入了IE的进程中，并通过IE的漏洞，来达到下载恶意程序的目的。
（2）针对防火墙端口的限制，***利用端口的隐蔽性来实现下载文件的目的。
每
一台计算机都默认有65536个端口，由于占用常用的端口会造成系统异常而引起用户警觉，***通常将自己隐藏在一些不常用的端口中，一般是1024以上的
端口，另外一些***具有端口修改的功能，这就使的“端口”监视工具失去了作用，有些***能够做到与正常程序共用端口（如80端口），这样就使的防火墙无法
做出拦截。
6.如何达到自启动的目的。
（1）修改注册表；
（2）将***程序加载到系统文件中；
（3）通过注入系统进程来达到随系统启动的目的。

7.***不再躲躲藏藏，而是主动***杀毒软件。
近年来，随着***技术的发展，***作者不再满足于隐藏自身，来躲避杀毒软件查杀的方式，而是开始主动***杀毒软件，当病毒运行后，在系统进程中查找国内外著名反病毒软件的进程，并试图终止这些进程，然后将反病毒软件所安装的文件删除。以此来达到免杀的效果。
8.为什么说Downloader***具有隐蔽性
Downloader***主要用来在受感染的系统中，
下载病毒作者想下载的恶意程序，一旦完成这个操作，Downloader***就删除自身，这就给病毒样本的获得，带来了很大的难度，而且
Downloader***因为不需要很复杂的结构，所以一般文件都很小，且因为一般不修改系统文件，所以很难察觉，所以说Downloader***具有很
强的隐蔽性。
9.病毒作者为什么要制作和传播Downloader类***。
近些年来,网络知识传播速度的加快，病毒
技术的发展，使的很多技术并不出众的初学者也能编写出病毒，这造成了病毒的编制目的，不再是为了炫耀技术，而是开始变的，以能够获取经济利益为主要目的，
而反病毒技术的发展，使的病毒作者开始对病毒进行模块化设计，用多个文件来实现过去一个病毒文件实现的功能，尽量缩小单个病毒文件的大小，减少特征，以此
来躲避反病毒软件的查杀。这就促成了Downloader这类主要负责下载其他恶意程序的***的出现。三 典型Trojan-Downloader***分析
1.Trojan-Downloader.Win32.Delf.ald分析
病毒名称： Trojan-Downloader.Win32.Delf.ald
病毒类型： ***类
文件 MD5： D1389043F9371EF017F2E143E7DB3A04
危害等级： 中等
文件长度： 138,240 字节
感染系统： Win98以上
开发工具： Borland Delphi 6.0 - 7.0
病毒描述：
该病毒运行后，首先在%Windir%下创建systemer.exe文件。而后连接http://www.*****5.com,
下载若干个文件到本机并自动运行安装，安装后施放若干个文件，包括Trojan-Clicker.Win32.Delf.cy病毒文件，之后自动启动雅虎
助手和中文上网软件和%\Windir\101359.exe%文件（Packed.Win32.Klone.e），连接网络。该病毒对用户有一定危害。
行为分析：
（1）修改注册表并添加开机启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
字串：%\WINdir\%systemer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
字串：%:\PROGRA~1\%Yahoo!\ASSIST~1\YLive.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
字串：%\WINdir%systeres.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
字串："%\PROGRA~1\%Yahoo!\Assistant\yassistse.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
字串：%\Program Files\%CNNIC\Cdn\cdnup.exe
（2）释放文件列表：
%\WINdir%\101359.exe 大小: 142,857，
%\WINdir%\cx.exe 大小: 405,504，
%\WINdir%\mrhl098.exe 大小: 545,792，
%\WINdir%\rjzc168yassist.exe 大小: 226,448，
%\WINdir%\system.txt 大小: 111，
%\WINdir%\systemer.exe 大小: 44,544，
%\WINdir%\systeres.exe 大小: 175,104，
%\WINdir%\systeres.ini 大小: 175，
位置总数: 4
%\WINdir\System32\%microsoft 大小: 0，
%\WINdir\System32\%cdn.dll 大小: 32,768，
%\WINdir\System32\%cdnns.dll 大小: 23,040，
%\WINdir\System32\%cdnprot.dat 大小: 4,931，
%\WINdir\System32\%cns.dat 大小: 70,480，cns.dll
大小: 32,768，cns.exe 大小: 28,672，
%\WINdir\System32\%microsoft 大小: 0，
%\Program Files\%cnnic
%\Program Files\%yahoo!
（3）病毒运行后，以下列地址连接外网：
TCP105161.135.170.161 : 80%\WINdir\%101359.exe
清除方案 ：
(1) 使用 icesword的“进程查看”或其他具有类似功能的软件关闭病毒进程。
(2) 删除以下文件：

%\WINdir%\101359.exe %\WINdir%\cx.exe %\WINdir%\mrhl098.exe %\WINdir%\rjzc168yassist.exe %\WINdir%\system.txt %\WINdir%\systemer.exe %\WINdir%\systeres.exe %\WINdir%\systeres.ini %\WINdir\System32\%microsoft %\WINdir\System32\%cdn.dll %\WINdir\System32\%cdnns.dll %\WINdir\System32\%cdnprot.dat %\WINdir\System32\%cns.dat %\WINdir\System32\%microsoft %\Program Files\%cnnic %\Program Files\%yahoo!

3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
字串：%\WINdir\%systemer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run“
字串：%:\PROGRA~1\%Yahoo!\ASSIST~1\YLive.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
字串：%\WINdir%systeres.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
字串："%\PROGRA~1\%Yahoo!\Assistant\yassistse.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
字串：%\Program Files\%CNNIC\Cdn\cdnup.exe

2.Trojan-Downloader.Win32.Small.j分析
病毒名称： Trojan-Downloader.Win32.Small.j
病毒类型： ***
文件 MD5： 8C72F090F960618F6C0E4456AE09A0B7
公开范围： 完全公开
危害等级： 中
文件长度： 8,704 字节
感染系统： windows 98 及以上版本
开发工具： Microsoft Visual Basic 5.0 / 6.0
加壳类型： UPX
病毒描述：
该病毒属***下载类，病毒主要通过发送含有病毒附件的邮件来传播，该病毒邮件利用社会工程学
的技巧来诱骗用户运行附件，其中发件地址是伪造的，病毒邮件主题，邮件信息主体都具有迷惑性，邮件内容主要是建议用户安装附件中名为
“winxp_sp1.exe”的病毒文件，带病毒运行后，便会尝试连接网络，下载病毒相关文件到本地运行，该病毒对用户有一定的危害。
行为分析：
（1）病毒邮件地址为： [email]windowsupdate@microsoft.com[/email]
　病毒邮件标题为： Windows XP Service Pack 1 (Express) - Critical Update.
　病毒邮件主体信息为：
Window
Update has determined that you are running a beta version of Windows XP
Service Pack 1 (SP1). To help improve the stability of your computer,
Microsoft recommends that you remove the beta version of Windows XP SP1
and re-install Windows XP SP1. If you cannot remove the beta version,
you should still reinstall Windows XP SP1.
......
病毒邮件的附件为：winxp_sp1.exe
（2）病毒运行后会尝试连接网络，下在病毒相关文件到本地运行：
http://home***net/mjidp/test/autoupd.exe
（3）复制原病毒副本到：%system%msvchost.exe
清除方案：
(1) 使用icesword“进程管理”或其他方法关闭病毒进程：msvchost.exe
(2) 删除病毒文件：%system%msvchost.exe
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
3.Trojan-Downloader.Win32.Slime.e分析
病毒名称： Trojan-Downloader.Win32.Slime.e
病毒类型： ***
文件 MD5： 8B090CD5EF4B747ABBC88D6B52C40698
公开范围： 完全公开
危害等级： 中
文件长度： 216,593 字节
感染系统： windows 98及以上版本
开发工具： vc
加壳类型： ASProtect
病毒描述：
该病毒属***类，主要以窃取用户一些敏感信息为主。病毒运行后会复制自身到%system%
ipreg.exe，并释放病毒相关文件%system%spdr.dll，而后病毒修改注册表文件，添加启动项，达到随系统启动的目的。病毒运行后尝试
窃取某些信息，该病毒对用户有一定的危害。
行为分析：
（1）病毒运行时会弹出一个对话框，假借一个软件的安装程序，骗取用户点击。
（2）病毒运行后会复制自身到：%system%rundll.exe
（3）修改注册表文件，更改exe文件关联
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\
旧值：字串： ""%1" %*""
新值：字串： "C:\WINNT\System32\Rundll.exe "%1" %*"
（4）尝试连接到http://chtao.***.south**.net/wg/mir2.exe，下载病毒相关文件到本地运行。
清除方案：
(1) 删除病毒释放的文件 %system%rundll.exe
(2)恢复病毒修改的注册表项目，修改注册表项： HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\
病毒的键值："C:\WINNT\System32\Rundll.exe "%1" %*"
新值："%1" %*
4.Trojan-Downloader.JS.Inor.a分析
病毒名称： Trojan-Downloader.JS.Inor.a
病毒类型： ***下载
危害等级： 中
文件长度： 1,524 字节
感染系统： windows 98及以上版本
开发工具： Html + Javascript
病毒描述：
该病毒属***下载类，是由Javascript脚本语言编写的一段经过加密的脚本，包含在一个HTML文件中，当用户访问这个网页时，就会自动运行这个脚本文件，这段经过加密的代码就会运行。病毒运行后会尝试连接地址：http://****/x/tbd_web.php?wm=2013（该地址已失效），并提示用户安装一个安全证书已经过期的软件，修改注册表文件。运行后，该病毒可能存于Temporary Internet目录中。
行为分析：
（1）连接到: http://****/x/tbd_web.php?wm=2013
（2）修改如下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{031B6D43-CBC4-46A5-8E46-CF8B407C1A33}\ProgID\@
键值: 字串: "DownCom.CDownCom.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{031B6D43-CBC4-46A5-8E46-CF8B407C1A33}\InprocServer32\@
键值: 字串: "C:\WINNT\DOWNLO~1\ipreg32.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4A31E565-08CB-4272-8817-7BF729B6A96F}\1.0\0\win32\@
键值: 字串: "C:\WINNT\Downloaded Program Files\ipreg32.dll"
清除方案：
（1） 终止相关的进程。
（2） 删除病毒所对应的文件。
（3） 清除IE的文件缓存
5．Trojan-Downloader.VBS.Psyme.ap 分析
病毒名称： Trojan-Downloader.VBS.Psyme.ap
病毒类型： ***
危害等级： 中
文件长度： 3,143 字节
感染系统： windows 9x 以上版本
开发工具： Visual Basic Script
病毒描述：
该脚本被运行后会从网络上下载其他***程序，病在感染主机上运行。该脚本试图终止某些程序的
进程，复制自身到 %system% 目录下，下载 四个病毒到 %system% 目录下，大量修改、新建注册表，加入数十个
iexplore.exe 到系统进程，修改IE浏览器首页地址。
行为分析：
（1）该 VBS 病毒运行后会终止试图终止 outlook.exe 、 drweb.exe 的进程
（2）病毒运行后，会从网络上下载四个***到感染主机运行。该病毒被下载到 %system%下，病毒明分别为：
dstart.exe 病毒名： Trojan.Win32.Dialer.gd
dstart1.exe 病毒名： Trojan-Proxy.Win32.Sobit.e
dstart2.exe 病毒名： Trojan.Win32.Dialer.ht
dstart3.exe 病毒名： Trojan.Downloader.Win32.Small.rd
修改 %system% system.ini 文件。
（3）修改IE设置，首页地址被修改为http://bbs.sejie.com/
（4）大量修改、新建注册表，举例如下：

HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\ Windows\CurrentVersion\Run\xp_system 键值 : 字串 : "C:\WINNT\inet10065\winlogon.exe" HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\ Windows\CurrentVersion\Explorer \RecentDocs\.htm\MRUList 键值 : 字串 : "a" HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\ Windows\CurrentVersion\Explorer \FileExts\.htm\OpenWithList\a 键值 : 字串 : "iexplore.exe" HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Windows NT\CurrentVersion\Windows\run 键值 : 字串 : "C:\WINNT\inet10065\winlogon.exe" HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer \Main\Error Dlg Displayed On Every Error 键值 : 字串 : "no" HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer\Main\Enable Browser Extensions 键值 : 字串 : "yes" HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer\Main\Error Dlg Details Pane Open 键值 : 字串 : "no" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root \LEGACY_RASMAN\0000\DeviceDesc 键值 : 字串 : "Remote Access Connection Manager" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ {5321E378-FFAD-4999-8C62-03CA8155F0B3}\InprocServer32\@ 键值 : 字串 : "C:\WINNT\inet10065\3.00.05.dll" 其中，在如下注册表位置，大量新键键值 HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer\Keywords\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Tracing\BAP\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Tracing\RASMAN\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\RasMan\Enum\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\PerfProc\Performance\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\Fax\Performance\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface \{FD1302BD-4080-11D1-A3AC-00C04FB950DC} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \ContentFilter\Performance\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root \LEGACY_RASMAN\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip \Performance\WbemAdapFileTime HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \Spooler\Performance\WbemAdapFileSize HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \TapiSrv\Performance\WbemAdapFileSize HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \RasMan\Parameters\IpOutLowWatermark HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \RemoteAccess\Performance\WbemAdapStatus

清除方案：
（1）终止掉病毒相对应的进程。
（2）删除病毒对应文件
（3）恢复系统设置。
6．Trojan downloader.JS.Phel.f分析
病毒名称：Trojan downloader.JS.Phel.f
中 文 名：“肥饵”变种f
病毒长度：可变
病毒类型：***下载器
危害等级：严重
影响平台：Win XP
病毒描述：
Trojan
downloader.JS.Phel.f“肥饵”变种f是一个利用微软MS05-001漏洞进行传播的***下载器。“肥饵”变种f运行后，在系统目录下
创建病毒文件。修改注册表，实现开机自启。利用ADODB控件从指定站点下载特定文件，保存在系统盘下，文件名是My.hta，实现.hta文件的开机自
启。侦听***指令，连接特定站点，在被感染计算机上下载并执行其它病毒。四 如何防范Trojan-Download类***病毒
该CERT的安全专家，根据自身多年从事病毒与反病毒工作的经验，给出以下安全建议：
1．使用专业安全厂商的正版防火墙产品，并根据厂商提供的正版技术支持，请经验丰富的安全产品专家，根据不同的使用环境，对杀毒软件和防火墙进行合理的配置。
2．当接收来路不明的带有附加文件的电子邮件时，应直接删除，若一定要使用该附加文件，请先使用查毒工具查毒，即使没有查出病毒也要小心，因为很可能是未知病毒。
3．使用IM及时通信工具时，要注意网络安全，不要轻易点击或运行好友或陌生人发送的带有诱惑性内容的链接或程序。应使用杀毒软件对地址或程序进行反复查杀。
4．不要隐藏文件的扩展名。在“文件夹选项”中，选择“显示隐藏文件夹”。
5．定期检查系统中，容易被病毒利用的启动配置。
6．定期检查系统服务器管理器中的服务，对于可疑进程，要及时向反病毒专家求教。
7．根据文件创建日期查看系统目录下是否有近期生成的可执行文件，用反病毒软件扫描这些文件。
8．不要浏览不熟悉的网站，尤其是一些个人网站和色情网站。
9．如果发现不良网站，应立刻向国家有关部门上报，或提交到反病毒厂商。
10．留意微软公司官方的每月安全公告，及时为操作系统更新漏洞补丁。
11．关闭或删除没有使用到的服务，如：FTP，Telnet及WEB服务器
12．关闭系统不使用的端口。
五 从Downloader类病毒看当今病毒技术的发展
病毒已经出现了很多年，所使用的技术也越来越先进，归结起来，当今病毒技术的发展，病毒越来越具有如下特点：
1．智能化。
许多新病毒是利用最新的编程语言与编程技术实现的，它们易于产生新变种，来躲避反病毒软件的查杀，同时越来越多的病毒，具有针对性和判断性，比如不会再次传播以感染的系统，在系统中潜伏，直到感兴趣的敏感信息出现，才激活自身。
2．人性化。
病毒，越来越重视利用用户的心理因素，如好奇心，贪念等。很多病毒，是利用电子邮件或IM聊天软件，发送黄色网站或虚假的中奖通知来诱骗用户访问，来达到传播的目的。
3．隐蔽化
病毒善于隐藏和伪装自己，其会自动根据所处的环境，改变自己的代码，同时不断的改变文件长度。
脚本类病毒还利用脚本语言的便利，不断改变自身，使反病毒软件很难从中找到特征。
4．多样化
病毒的种类越来越多，传播的方法也日益多样性。
5．病毒生成机，变种数量庞大。
出现了专用的病毒生成工具，使的一个病毒可能出现上万的变种，给查杀带来难度。
6．***反病毒软件。
病毒开始研究接管系统管理权限，来***反病毒软件，终止反病毒软件对用户机器的保护。
病
毒技术的发展，给反病毒软件厂商和安全机构，提出了更高的挑战，要求我们潜心研究病毒技术，总结经验，不断提高反病毒的能力，为广大用户提供更安全的网络
环境。同时也要求广大用户，提高自身的安全意识，普及安全常识，更高效的使用互联网提供的资料，享受信息化给现代生活带来的便利。
综述：
随着利益更大话的增长，越来越多的所谓的***开始更多的考虑如何才能让黑色收入变的如何的巨大，如何的能痛快的消费，购买自己所需要的设备等，开始
由原来的崇尚自由而转变到追求个人利益最大话，同时也衍生出新的黑色经济，就是***，或许大家都感觉到***加键盘记录器也就偷个帐号，偷个个人信息，但是
从最近更多的用户提供的线索来看，它已经变了味道，更趋向于象导弹一样，目的明确，手法毒辣，涉及个人（包括名人，影星）隐私，照片，信件，游戏装备，木
马，网银帐号等。
现在已经到了该出手的时代，呼吁更多的用户能向我们多提供一些线索，和给我们能多提交一些新发现的病毒样本，这样我们才能更好的为大家服务。今天我
特此把我的msn公布给大家，也欢迎大家和我交流，我们一同来打一场反黑反病毒的持久战，同时在这里我还是要感谢安天实验室的全体cert组成员，能全力
支持我，配合我来更快更好的完成病毒分析工作，也同样感谢我的两个助手-----王清，王琪，以及诚信网安的全体成员，谢谢你们对我工作的支持和帮助。