发布2008年上半年十大病毒及计算机病毒疫情报告

gao0907

发布2008年上半年十大病毒及计算机病毒疫情报告
     
7月8日，国内最大的计算机反病毒软件供应商江民科技发布了2008年上半年十大病毒排行及病毒疫情报告。
据江民反病毒中心统计，从2008年1月1日到2008年6月30日，反病毒中心共截获新病毒206439种。江民KV病毒预警系统数据显示，1至6月全国共有9871681台计算机感染了病毒。

    在2008年上半年十大病毒中，高居榜首的是“网游窃贼”及其变种病毒。这类病毒会自我插入到被感染计算机系统中的“explorer.exe”桌面进程以及其它应用程序进程内加载运行，隐藏自我，防止被查杀。这也是上半年来，病毒发展的一大趋势。位居排行榜第二位的是去年就榜上有名的“U盘寄生虫”病毒，该病毒会利用U盘等移动存储设备进行自我传播，上半年的发展势头更是有增无减。位居第三位和第四位的“代理木马”与“网游大盗”都是具有盗窃特征的木马，前者可以偷取计算机用户机密信息，后者可盗取网络游戏玩家帐号密码等信息资料。在这次排名中，“网游窃贼”之所以能稳居榜手位置，与排名第五的“机器狗”病毒“功不可没”，因为如果用户计算机中一个“机器狗”病毒，那么它至少会下载数十个“网游窃贼”盗号木马，这是两个典型的带有利益关联的病毒。位居第六、第七、第八位的分别是“Flash蛀虫”及其变种、“IE大盗”及其变种、“QQ大盗”及其变种。曾经显赫一时的“灰鸽子”后门类病毒位居这次排行的第九位。而前不久在互联网上肆虐，给广大电脑用户造成巨大损失的“千足虫”变种(又名“磁碟机”)病毒，由于及时关闭了所有相关的恶意网站，对该病毒进行了封堵，所以这次排名仅居第十位。


根据江民全球病毒监测网(国内部分)、江民病毒预警中心、客户服务中心等多个部门联合监测统计，综合病毒的破坏能力以及传播范围，江民反病毒中心公布了2008上半年度十大病毒排行：
序号 病毒名称 英文名
1 “网游窃贼”变种 Trojan/PSW.OnLineGames
2 “U盘寄生虫”变种 Checker/Autorun
3 “代理木马”变种 Trojan/Agent
4 “网游大盗”变种 Trojan/PSW.GamePass.Gen
5 “机器狗”变种 Trojan/DogArp
6 “Flash蛀虫”变种 Exploit.CVE-2007-0071
7 “IE大盗”变种 TrojanSpy.Iespy
8 “QQ大盗”变种 Trojan/PSW.QQPass
9 “灰鸽子”变种 Backdoor/Huigezi
10 “千足虫”变种(又名“磁碟机”) Win32/Kdcyy
（2008年度上半年十大病毒排行  数据来源：江民科技）

2008年上半年十大病毒档案
一、“网游窃贼”及其变种
描述： Trojan/PSW.OnLineGames“网游窃贼”是一个盗取网络游戏帐号的木马程序，会在被感染计算机系统的后台秘密监视用户运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将盗取的所有玩家信息资料发送到骇客指定的远程服务器站点上。致使网络游戏玩家的游戏帐号、装备物品、金钱等丢失，会给游戏玩家带去不同程度的损失。 “网游窃贼”会通过在被感染计算机系统注册表中添加启动项的方式，来实现木马开机自启动。
二、“U盘寄生虫”及其变种
描述：Checker/Autorun“U盘寄生虫”是一个利用U盘等移动存储设备进行自我传播的蠕虫病毒。“U盘寄生虫” 运行后，会自我复制到被感染计算机系统的指定目录下，并重新命名保存。“U盘寄生虫”会在被感染计算机系统中的所有磁盘根目录下创建“autorun.inf”文件和蠕虫病毒主程序体，来实现用户双击盘符而启动运行“U盘寄生虫”蠕虫病毒主程序体的目的。“U盘寄生虫”还具有利用U盘、移动硬盘等移动存储设备进行自我传播的功能。“U盘寄生虫”运行时，可能会在被感染计算机系统中定时弹出恶意广告网页，或是下载其它恶意程序到被感染计算机系统中并调用安装运行，会给用户带去不同程度的损失。“U盘寄生虫” 会通过在被感染计算机系统注册表中添加启动项的方式，来实现蠕虫开机自启动。
三、“代理木马”及其变种
描述： Trojan/Agent“代理木马”是木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“代理木马”运行后，会自我复制到被感染计算机系统中的指定目录下，修改注册表，实现开机自启。在被感染计算机的后台秘密窃取用户所使用系统的配置信息，然后从骇客指定的远程服务器站点下载其它恶意程序并安装调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门和恶意广告程序等等，会给用户带去不同程度的损失。
四、“网游大盗”及其变种
描述：Trojan/PSW.GamePass“网游大盗”是一个盗取网络游戏帐号的木马程序，会在被感染计算机系统的后台秘密监视用户运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将盗取的所有玩家信息资料发送到骇客指定的远程服务器站点上。致使网络游戏玩家的游戏帐号、装备物品、金钱等丢失，会给游戏玩家带去不同程度的损失。 “网游大盗”会通过在被感染计算机系统注册表中添加启动项的方式，来实现木马开机自启动。
五、“机器狗”及其变种
描述：以Trojan/DogArp. h为例，Trojan/DogArp.h“机器狗”变种h是“机器狗”木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“机器狗”变种h运行后，在指定目录下释放恶意驱动程序并加载运行。通过恶意驱动程序直接挂接磁盘IO端口进行读写真实磁盘物理地址中的数据和进行监控关机行为等操作，从而达到穿透还原软件的目的。覆盖“explorer.exe”、“userinit.exe”或“regedit.exe”等系统文件，实现“机器狗”变种h开机自启动。恶意驱动程序还能还原系统“SSDT”，致使某些安全软件的防御和监控功能失效。恶意破坏注册表，致使注册表编辑器无法运行。遍历当前计算机系统中的进程列表，一旦发现与安全相关的进程，强行将其关闭。修改注册表，利用进程映像劫持功能禁止近百种安全软件及调试工具运行。在被感染计算机系统的后台连接骇客指定站点获取恶意程序列表，下载列表中的所有恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带去不同程度的损失。

六、“Flash蛀虫”及其变种
描述：Exploit.CVE-2007-0071“Flash蛀虫”是脚本病毒家族的最新成员之一，采用Flash脚本语言和汇编语言编写而成，并且代码经过加密处理，利用“Adobe Flash Player”漏洞传播其它病毒。“Flash蛀虫”一般内嵌在正常网页中，如果用户计算机没有及时升级安装“Adobe Flash Player”提供的相应的漏洞补丁，那么当用户使用浏览器访问带有“Flash蛀虫”的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载其它恶意程序并在被感染计算机上自动运行。所下载的恶意程序一般多为木马下载器，然后这个木马下载器还会下载更多的恶意程序安装到被感染计算机的系统中，会给用户带去不同程度的损失。
七、“IE大盗”及其变种
描述：TrojanSpy.Iespy“IE大盗”是间谍类木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理，一般以DLL组件文件的形式存在，利用“BHO”(Browser Helper Objects)劫持技术在被感染计算机系统中随IE浏览器的启动而加载运行。“IE大盗”运行后，会在被感染计算机系统的后台利用HOOK和键盘记录等技术盗取用户在IE浏览器中输入的几乎所有机密信息资料（其中包括：用户名、密码、浏览的网址等），并在被感染计算机后台将窃取到的这些信息资料发送到骇客指定的远程服务器站点上，会给用户带去不同程度的损失。

八、“QQ大盗”及其变种
描述：Trojan/PSW.QQPass“QQ大盗”是木马家族的最新成员之一，采用高级语言编写， 并经过加壳保护处理。“QQ大盗”运行时，会在被感染计算机的后台搜索用户系统中有关QQ注册表项和程序文件的信息，然后强行删除用户计算机中的QQ医生程序“QQDoctorMain.exe”、“QQDoctor.exe”和“TSVulChk.dat”文件，从而来保护自身不被查杀。“QQ大盗”运行时，会在后台盗取计算机用户的QQ帐号、QQ密码、会员信息、ip地址、ip所属区域等信息资料，并且会在被感染计算机后台将窃取到的这些信息资料发送到骇客指定的远程服务器站点上或邮箱里，会给被感染计算机用户带去不同程度的损失。“QQ大盗”通过在注册表启动项中添加键的方式，来实现开机木马自启动。
九、“灰鸽子”及其变种
描述：Backdoor/Huigezi “灰鸽子”是后门家族的最新成员之一，采用Delphi语言编写，并经过加壳保护处理。“灰鸽子”运行后，会自我复制到被感染计算机系统的指定目录下，并重新命名保存（文件属性设置为：只读、隐藏、存档）。“灰鸽子”是一个反向连接远程控制后门程序，运行后会与骇客指定远程服务器地址进行TCP/IP网络通讯。中毒后的计算机会变成网络僵尸，骇客可以远程任意控制被感染的计算机，还可以窃取用户计算机里所有的机密信息资料等，会给用户带去不同程度的损失。“灰鸽子”会把自身注册为系统服务，以服务的方式来实现开机自启动运行。“灰鸽子”主安装程序执行完毕后，会自我删除。

十、“千足虫”及其变种(又名“磁碟机”)
描述：以Win32/Kdcyy.cp为例，Win32/Kdcyy.cp“千足虫”变种cp是“千足虫”家族的最新成员之一，采用VC++ 6.0编写， 并经过加壳保护处理。“千足虫”变种cp运行后，会在被感染计算机系统的“%SystemRoot%\system32\com\”目录下释放病毒组件文件“lsass.exe”、“smss.exe”、“netcfg.000”和“netcfg.dll”，还会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放病毒组件文件“dnsq.dll”。利用驱动程序来恢复SSDT Hook，使某些安全软件的监控失效。强行关闭大部分杀毒软件和安全工具软件。被感染计算机系统会经常死机或长时间卡住不动。利用“ARP病毒”在局域网中进行自我传播。感染除系统盘外所有盘符下的EXE可执行文件、网页文件、RAR和ZIP压缩包中的文件等(加密感染)，感染后的程序变为16位的图标，图标变模糊，类似于马赛克。一旦发现与安全相关的窗口存在，强行将其关闭。在所有盘符下生成“autorun.inf”和病毒体，并且对这些文件进行实时检测保护，利用移动设备进行传播。破坏注册表，致使用户无法进入“安全模式”、无法查看隐藏的系统文件，致使注册表启动项失效。修改注册表，实现开启自动播放的功能。强行删除所有安全软件的关联注册表项，使其无法开启监控。利用进程守护技术，将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联，实现进程守护，一旦病毒文件被删除或被关闭，便马上生成并重新运行。以系统级权限运行，部分进程使用了进程保护技术。利用控制台命令来设置病毒程序文件的访问运行权限。利用了重启移动文件的技术，在重新启动计算机时会把病毒主程序体移动存在到系统[启动]文件夹中，实现开机自启动。“千足虫”变种cp会在被感染计算机系统的后台访问骇客指定的广告站点，进行提升访问量，刷网络排名等操作。另外，“千足虫”变种cp还可以自升级。