Doctor Web 公司发布2009年上半年病毒行为回顾报告。ATM恶意软件，针对Mac OS X操作系统的新威胁，以及由网络资源组成的最大的僵尸网络，成为过去上半年的重要病毒事件。另一方面， 影子僵尸(Conficker, Downdup)的扩散速度已经有了明显的下降。

　　僵尸网络

　　在2009上半年，很多用户和IT安全专家都非常关注一种命名为 Win32.HLLW.Shadow 的蠕虫。

　　全球各地数以百万计的电脑感染了这种恶意程序，陷入僵尸网络。 Win32.HLLW.Shadow 采用了多项传播技术。它利用Windows 系统漏洞，使用强制算法获取管理员密码 (结果表明很多管理员使用的密码强度都非常低)，以及通过可移动数据存储设备在计算机之间进行传播。

　　Win32.HLLW.Shadow 的作者在该蠕虫的流行期间发布了大量的变种。这些变种都已被及时添加到Dr.Web 的病毒库里。目前这种恶意程序的活跃程度已经下降，未列入病毒排行榜的前十名。

　　Virut 是在上半年另一种引起人们注意的僵尸网络病毒。该僵尸网络中的计算机均被一种复杂多态的病毒所感染。Tdss 僵尸网络也是僵尸计算机组成的网络中比较突出的一个类型。 程序使用rootkit技术在系统中隐藏自身，同时将目标计算机控制为僵尸计算机。BackDoor.Tdss 上半年不断的发布大量变种文件，使得该类病毒的传播更加密集。值得指出的是，该后门可应用于不同的模块上，这意味着，负责安装和伪装BackDoor.Tdss 的模块是基于商业目的被创建和传播的。 下图表明2009年前半年，被发现的病毒变种的数量是如何变化的。

　　新闻最近一次播报的僵尸网络是使用 BackDoor.MaosBoot 的rootkit 家族技术创建的。应当指出的是，这些被 rootkit 感染的机器属于最难修复的一种。Doctor Web 的病毒分析师已于2009年发现了rootkits 的两个版本。

　　今年四月份，网络犯罪的僵尸网络控制中心域名生成算法中包含Twitter（一个社交网站）。五月份检测到很多网站都在传播该僵尸网络的rootkit。这些网站可以检测到可能的受害计算机的位置。例如，BackDoor.MaosBoot 只有在德国或美国才会攻击主机。