在本文中，作者就会通过对来自一家重要安全厂商的数据进行深入分析来达到揭示那些被巨额数字所掩盖的真实情况的目标。

　　现在，这个问题就变成了：在Windows计算机、Android设备以及苹果Mac机上流行的恶意软件到底有多少种呢？

　　乍看起来，它好象属于一个非常简单的问题。但如果认真考虑一下的话，大家就会发现真正的答案远远没有自己最初预想的那么简单。实际上，这里的数字可能比大家想象的情况低很多。

　　如果我们相信主流安全厂商所给出的结论，该问题的正确答案就应该是在百万数量级上。毕竟，在常用防病毒软件定义文件中，大家可以查到的统计数字就是这么多。举例来说，到4月12日的时间，在最新病毒定义文件的简介中，赛门铁克就声称具有独立特征可以被检测出来的恶意软件总数为17702868种。

　　我的天哪!1770万种？这显然属于一个非常庞大的数字。但在为它折服之前，我们还是应该先仔细考虑一下该数字可能代表的真实意义所在。

　　八天之前的4月4日，在相同的定义文件中，诺顿/赛门铁克软件给出的具有独立特征可以被检测出来的恶意软件总数为17595922种。如果仅仅从在短短的八天时间里总数就上升了106946种这一情况来看的话，我们可能就会得出恶意软件的传播已经处于失控状态的结论。

　　此外，由于诺顿软件主要关注于Windows计算机领域的情况，所以大家可能认为所有这些活跃的病毒都应该是运行在Windows平台上的。

　　但实际上，这两项结论都是错误的。

　　毕竟，对于计算机安全公司来说，在对恶意软件活跃程度进行评估的时间，定义文件就属于一种非常有用的途径。它们可以将安全公司与恶意软件作者之间猫捉耗子类游戏的实际激烈程度模糊化处理，从而导致仅仅对特征总数进行清点完全说明不了新出现问题的情况出现。

　　在对赛门铁克本星期发布的定义文件进行过深入分析后，我发现了一些非常有趣的内容。

　　为了显示出自身的权威性来，赛门铁克会在发布的新定义文件中对所有新出现的条目进行详细说明。这就意味着，只要选定了日子，我们就可以从可以文件中找出新出现以及进行过调整的特征情况。具体信息如下所示：

　　在4月5日到4月12日八天之中，赛门铁克仅仅在认证定义文件中加入了12种可以被检测出来的恶意软件新特征;并且，其中有6种是在4月10日这一天内加入进去的。下面列出的就是具体分类情况：

　　•　其中有三种属于恶意软件包(Packed.Generic.360到.362)的通用监测特征。它们并不属于新类型的恶意软件，仅仅只是封装方式出现了新变化。附加说明中对它们是这样描述的，“为了避免被防病毒软件启发式检测所发现，它们会对自身代码进行模糊或者加密处理”。

　　•　接下来的四种属于现有虚假防病毒软件包(Trojan.FakeAV!gen90和gen91、SmartAVFraud!GEN2以及SecShieldFraud!GEN5)的通用监测代码。它们也属于启发式检测的关注范围之中，软件将依靠对活动情况而不是经常变化的代码来对虚假防病毒软件类恶意软件进行确认。

　　•　还有两种针对的是Android设备：Android.Tigerbot和Android.Gonfu.D。它们都属于包含了后门功能的恶意Android应用程序。

　　•　下面就是一个仅仅被命名为Adware.SafeTerra的新条目，文件中并没有提供任何附加说明。

　　•　接下来的一个新条目被称作Trojan.Darkshell，文件中的附加说明也非常含糊(“可能被用来进行分布式拒绝服务攻击”)。

　　•　最后一种就是苹果机上臭名昭著的闪回(Flashback)恶意软件，文件中所采用的正式名称是OSX.Flashback.K。

　　在此期间，定义文件条目的实际修改数量仅仅只有303处——其中12处为新增加的，291处为进行过调整的。那么，所谓10万以上的巨额数字究竟是怎么得出来的呢？在这里，答案看起来好象应该是与命名条目相关的独立数字签名总数。尽管对所有数字签名都进行统计属于一种获取令人惊讶庞大数字的简单方法，但在对当前威胁进行全面评估的时间，它可不能属于一种准确的手段。

　　此外，该清单中还包含了大量恶意软件之外的内容。涉及的相关类别有广告软件、黑客工具(其中不少属于合法的)、恶作剧工具、存在误导性的应用程序、可能不需要的应用程序以及安全评估工具。在将所有这些类别剔除出去后，我发现与木马、蠕虫以及病毒相关的条目就剩下了213处。

　　在清单内容进行分析的时间，我发现了大量特征都来自非常古老的代码。这种意外的情况让我感到非常惊讶。在2012年4月这一星期的时间里，赛门铁克对于过时恶意软件的特征进行了更新;与此同时，定义文件中的计数器也进行了相应的调整：

　　•　尽管在上世纪90年代后期的时间，SubSeven木马属于非常危险的恶意软件，但它在2003年就完全消失了。

　　•　作为2002年出现的群发邮件类蠕虫病毒，W32.Chir.B@mm所针对的攻击对象是4到5.5版本的Internet Explorer浏览器。

　　•　作为利用Kazaa文件共享网络进行传播的蠕虫病毒系列，Spybot所依靠的是在2003年就已经更新的Windows 2000/XP漏洞。

　　•　作为2004年出现的群发邮件类蠕虫病毒，Netsky早已过时。

　　•　作为催生出第一代僵尸网络的群发邮件类蠕虫病毒，Mydoom的肆虐也就是在2004年2月的时间，现在已经没有什么危害了。

　　•　此外，2012年4月的定义文件中还包括了针对Waledac和Rustock的多条更新项目。但实际上，这两张多产的垃圾邮件僵尸网络已经分别在2010年2月和2011年3月被强行关闭。软件现在还对涉及木马进行检测纯属庸人自扰。

　　对于所有的命名条目，赛门铁克都标注了加入到定义文件中的最初时间。除了213处新命名的，剩余总条目中有85%来自2010年或者更早的时间。实际上，2011年和2012年的加起来才31处。其中还有三分之一属于非Windows平台。

　　最近的两项样本都来自苹果OS X——这就是去年秋天出现的 OSX.Flashback原始版本，以及在过去一个月的时间里给广大苹果用户造成严重破坏的OSX.Flashback.K最新变种。

　　更为有趣的是，清单中有八处条目——超过四分之一——属于涉及Android设备的恶意软件。考虑到Android设备的实际市场份额以及应用市场缺乏有效控制的现实情况，该数字并不让人非常惊奇。在最新发布的威胁与风险清单中，赛门铁克将80多种Android相关程序归到木马或间谍软件类别中。这占据了清单全部720条总量的11%。

　　为了确认出这些类别是否真的具有代表性，我对赛门铁克3月份一个整月的数据库进行了深入分析。总体而言，赛门铁克一共将66处新命名的条目添加进清单中，约合每天两条。在这其中，有36处代表的是新类型木马、病毒以及蠕虫。其中的5处针对的是Android设备，一处针对的是OS X系统(这里的答案是否定的，它不属于闪回的变种)，至于针对Symbian OS、Linux和Adobe Flash Player的漏洞也各自发现了一处新威胁。

　　在今年早些时间发布的2011年安全情报报告中，微软安全研究人员也就独立恶意软件样本计数法给总体威胁评估带来的问题进行了评论：

　　自从开发人员开始选择利用服务器以及客户端多态性(为了避免被防恶意软件工具发觉，恶意软件具备了动态创建多种不同形式本体的功能)来开发犯罪类恶意软件后，“当前面临的威胁变种有多少？”就已经成为越来越难于回答的问题。毕竟，多态性就意味着变种将会与受到感染的计算机数量一样多。换句话说，决定数量将会多少的关键就在于恶意软件产生新变种的能力。

　　如果我们对近十年中Windows平台上的恶意软件发展进行仔细分析的话，就会发现少量系列恶意软件造成了绝大多数已知损害的情况。在接下来的文章中，我将对这些系列恶意软件以及Windows平台上恶意软件的进化情况进行深入分析。