7月8日,國內最大的計算機反病毒軟件供應商江民科技發布了2008年上半年十大病毒排行及病毒疫情報告。
據江民反病毒中心統計,從2008年1月1日到2008年6月30日,反病毒中心共截獲新病毒206439種。江民KV病毒預警系統數據顯示,1至6月全國共有9871681臺計算機感染了病毒。
圖一
在2008年上半年十大病毒中,高居榜首的是“網游竊賊”及其變種病毒。這類病毒會自我插入到被感染計算機系統中的“explorer.exe”桌面進程以及其它應用程序進程內加載運行,隱藏自我,防止被查殺。這也是上半年來,病毒發展的一大趨勢。位居排行榜第二位的是去年就榜上有名的“U盤寄生蟲”病毒,該病毒會利用U盤等移動存儲設備進行自我傳播,上半年的發展勢頭更是有增無減。位居第三位和第四位的“代理木馬”與“網游大盜”都是具有盜竊特征的木馬,前者可以偷取計算機用戶機密信息,后者可盜取網絡游戲玩家帳號密碼等信息資料。在這次排名中,“網游竊賊”之所以能穩居榜手位置,與排名第五的“機器狗”病毒“功不可沒”,因為如果用戶計算機中一個“機器狗”病毒,那么它至少會下載數十個“網游竊賊”盜號木馬,這是兩個典型的帶有利益關聯的病毒。位居第六、第七、第八位的分別是“Flash蛀蟲”及其變種、“IE大盜”及其變種、“QQ大盜”及其變種。曾經顯赫一時的“灰鴿子”后門類病毒位居這次排行的第九位。而前不久在互聯網上肆虐,給廣大電腦用戶造成巨大損失的“千足蟲”變種(又名“磁碟機”)病毒,由于及時關閉了所有相關的惡意網站,對該病毒進行了封堵,所以這次排名僅居第十位。
據2008年上半年病毒疫情報告顯示,2008年上半年病毒發展的新特征較2007年有所改變。更多的病毒采用了Rootkit技術進行自我保護和隱藏,這類病毒首先會利用驅動程序去還原系統SSDT HOOK,從而使部分安全軟件的監控失效,然后將去強行關閉目前幾乎所有安全工具軟件以及絕大多數的殺毒軟件(當然,江民KV2008殺毒軟件是可以抵御該類病毒的)。接下來,這類病毒會將惡意DLL組件插入到被感染計算機系統中幾乎所有的用戶級權限的進程內加載運行,還包括部分系統級權限的進程。并且利用了重啟移動技術,在啟動計算機時會把病毒主體文件從指定目錄下移動到系統[啟動]文件夾中,實現開機自啟動。病毒啟動運行后會將系統[啟動]文件夾中的病毒主體文件刪除掉。這樣可以隱蔽啟動,而不被用戶輕易發現。
根據江民全球病毒監測網(國內部分)、江民病毒預警中心、客戶服務中心等多個部門聯合監測統計,綜合病毒的破壞能力以及傳播范圍,江民反病毒中心公布了2008上半年度十大病毒排行:
圖二
2008年上半年十大病毒檔案
一、“網游竊賊”及其變種
病毒名稱:Trojan/PSW.OnLineGames
病毒中文名:網游竊賊
病毒類型:木馬
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描述: Trojan/PSW.OnLineGames“網游竊賊”是一個盜取網絡游戲帳號的木馬程序,會在被感染計算機系統的后臺秘密監視用戶運行的所有應用程序窗口標題,然后利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡游戲玩家的游戲帳號、游戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息資料,并在后臺將盜取的所有玩家信息資料發送到駭客指定的遠程服務器站點上。致使網絡游戲玩家的游戲帳號、裝備物品、金錢等丟失,會給游戲玩家帶去不同程度的損失。 “網游竊賊”會通過在被感染計算機系統注冊表中添加啟動項的方式,來實現木馬開機自啟動。
二、“U盤寄生蟲”及其變種
病毒名稱:Checker/Autorun
病毒中文名:U盤寄生蟲
病毒類型:蠕蟲
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描述:Checker/Autorun“U盤寄生蟲”是一個利用U盤等移動存儲設備進行自我傳播的蠕蟲病毒!癠盤寄生蟲” 運行后,會自我復制到被感染計算機系統的指定目錄下,并重新命名保存。“U盤寄生蟲”會在被感染計算機系統中的所有磁盤根目錄下創建“autorun.inf”文件和蠕蟲病毒主程序體,來實現用戶雙擊盤符而啟動運行“U盤寄生蟲”蠕蟲病毒主程序體的目的!癠盤寄生蟲”還具有利用U盤、移動硬盤等移動存儲設備進行自我傳播的功能!癠盤寄生蟲”運行時,可能會在被感染計算機系統中定時彈出惡意廣告網頁,或是下載其它惡意程序到被感染計算機系統中并調用安裝運行,會給用戶帶去不同程度的損失!癠盤寄生蟲” 會通過在被感染計算機系統注冊表中添加啟動項的方式,來實現蠕蟲開機自啟動。
三、“代理木馬”及其變種
病毒名稱:Trojan/Agent
病毒中文名:代理木馬
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描述: Trojan/Agent“代理木馬”是木馬家族的最新成員之一,采用高級語言編寫,并經過加殼保護處理。“代理木馬”運行后,會自我復制到被感染計算機系統中的指定目錄下,修改注冊表,實現開機自啟。在被感染計算機的后臺秘密竊取用戶所使用系統的配置信息,然后從駭客指定的遠程服務器站點下載其它惡意程序并安裝調用運行。其中,所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門和惡意廣告程序等等,會給用戶帶去不同程度損失。
四、“網游大盜”及其變種
病毒名稱:Trojan/PSW.GamePass.Gen
病毒中文名:網游大盜
病毒類型:木馬
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描述:Trojan/PSW.GamePass“網游大盜”是一個盜取網絡游戲帳號的木馬程序,會在被感染計算機系統的后臺秘密監視用戶運行的所有應用程序窗口標題,然后利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡游戲玩家的游戲帳號、游戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息資料,并在后臺將盜取的所有玩家信息資料發送到駭客指定的遠程服務器站點上。致使網絡游戲玩家的游戲帳號、裝備物品、金錢等丟失,會給游戲玩家帶去不同程度的損失。 “網游大盜”會通過在被感染計算機系統注冊表中添加啟動項的方式,來實現木馬開機自啟動。
五、“機器狗”及其變種
病毒名稱:Trojan/DogArp
病毒中文名:機器狗
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描述:以Trojan/DogArp. h為例,Trojan/DogArp.h“機器狗”變種h是“機器狗”木馬家族的最新成員之一,采用高級語言編寫,并經過加殼保護處理!皺C器狗”變種h運行后,在指定目錄下釋放惡意驅動程序并加載運行。通過惡意驅動程序直接掛接磁盤IO端口進行讀寫真實磁盤物理地址中的數據和進行監控關機行為等操作,從而達到穿透還原軟件的目的。覆蓋“explorer.exe”、“userinit.exe”或“regedit.exe”等系統文件,實現“機器狗”變種h開機自啟動。惡意驅動程序還能還原系統“SSDT”,致使某些安全軟件的防御和監控功能失效。惡意破壞注冊表,致使注冊表編輯器無法運行。遍歷當前計算機系統中的進程列表,一旦發現與安全相關的進程,強行將其關閉。修改注冊表,利用進程映像劫持功能禁止近百種安全軟件及調試工具運行。在被感染計算機系統的后臺連接駭客指定站點獲取惡意程序列表,下載列表中的所有惡意程序并在被感染計算機上自動調用運行。其中,所下載的惡意程序可能是網游木馬、廣告程序(流氓軟件)、后門等,給被感染計算機用戶帶去不同程度的損失。
六、“Flash蛀蟲”及其變種
病毒名稱:Exploit.CVE-2007-0071
病毒中文名:“Flash蛀蟲”變種
病毒類型:腳本病毒
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描述:Exploit.CVE-2007-0071“Flash蛀蟲”是腳本病毒家族的最新成員之一,采用Flash腳本語言和匯編語言編寫而成,并且代碼經過加密處理,利用“Adobe Flash Player”漏洞傳播其它病毒!癋lash蛀蟲”一般內嵌在正常網頁中,如果用戶計算機沒有及時升級安裝“Adobe Flash Player”提供的相應的漏洞補丁,那么當用戶使用瀏覽器訪問帶有“Flash蛀蟲”的惡意網頁時,就會在當前用戶計算機的后臺連接駭客指定站點,下載其它惡意程序并在被感染計算機上自動運行。所下載的惡意程序一般多為木馬下載器,然后這個木馬下載器還會下載更多的惡意程序安裝到被感染計算機的系統中,會給用戶帶去不同程度的損失。
七、“IE大盜”及其變種
病毒名稱:TrojanSpy.Iespy
病毒中文名:IE大盜
病毒類型:間諜類木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描述:TrojanSpy.Iespy“IE大盜”是間諜類木馬家族的最新成員之一,采用高級語言編寫,并經過加殼保護處理,一般以DLL組件文件的形式存在,利用“BHO”(Browser Helper Objects)劫持技術在被感染計算機系統中隨IE瀏覽器的啟動而加載運行!癐E大盜”運行后,會在被感染計算機系統的后臺利用HOOK和鍵盤記錄等技術盜取用戶在IE瀏覽器中輸入的幾乎所有機密信息資料(其中包括:用戶名、密碼、瀏覽的網址等),并在被感染計算機后臺將竊取到的這些信息資料發送到駭客指定的遠程服務器站點上,會給用戶帶去不同程度的損失。
八、“QQ大盜”及其變種
病毒名稱:Trojan/PSW.QQPass
病毒中文名:QQ大盜
病毒類型:木馬
危險級別:★
影響平臺:Win9X/2000/XP/NT/Me
描述:Trojan/PSW.QQPass“QQ大盜”是木馬家族的最新成員之一,采用高級語言編寫, 并經過加殼保護處理!癚Q大盜”運行時,會在被感染計算機的后臺搜索用戶系統中有關QQ注冊表項和程序文件的信息,然后強行刪除用戶計算機中的QQ醫生程序“QQDoctorMain.exe”、“QQDoctor.exe”和“TSVulChk.dat”文件,從而來保護自身不被查殺。“QQ大盜”運行時,會在后臺盜取計算機用戶的QQ帳號、QQ密碼、會員信息、ip地址、ip所屬區域等信息資料,并且會在被感染計算機后臺將竊取到的這些信息資料發送到駭客指定的遠程服務器站點上或郵箱里,會給被感染計算機用戶帶去不同程度的損失!癚Q大盜”通過在注冊表啟動項中添加鍵的方式,來實現開機木馬自啟動。
九、“灰鴿子”及其變種
病毒名稱:Backdoor/Huigezi
病毒中文名:灰鴿子
病毒類型:后門
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描述:Backdoor/Huigezi “灰鴿子”是后門家族的最新成員之一,采用Delphi語言編寫,并經過加殼保護處理!盎银澴印边\行后,會自我復制到被感染計算機系統的指定目錄下,并重新命名保存(文件屬性設置為:只讀、隱藏、存檔)!盎银澴印笔且粋反向連接遠程控制后門程序,運行后會與駭客指定遠程服務器地址進行TCP/IP網絡通訊。中毒后的計算機會變成網絡僵尸,駭客可以遠程任意控制被感染的計算機,還可以竊取用戶計算機里所有的機密信息資料等,會給用戶帶去不同程度的損失!盎银澴印睍炎陨碜詾橄到y服務,以服務的方式來實現開機自啟動運行。“灰鴿子”主安裝程序執行完畢后,會自我刪除。
十、“千足蟲”及其變種(又名“磁碟機”)
病毒名稱:Win32/Kdcyy
病毒中文名:千足蟲(又名“磁碟機”)
病毒類型:蠕蟲
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描述:以Win32/Kdcyy.cp為例,Win32/Kdcyy.cp“千足蟲”變種cp是“千足蟲”家族的最新成員之一,采用VC++ 6.0編寫, 并經過加殼保護處理。“千足蟲”變種cp運行后,會在被感染計算機系統的“%SystemRoot%\system32\com\”目錄下釋放病毒組件文件“lsass.exe”、“smss.exe”、“netcfg.000”和“netcfg.dll”,還會在被感染計算機系統的“%SystemRoot%\system32\”目錄下釋放病毒組件文件“dnsq.dll”。利用驅動程序來恢復SSDT Hook,使某些安全軟件的監控失效。強行關閉大部分殺毒軟件和安全工具軟件。被感染計算機系統會經常死機或長時間卡住不動。利用“ARP病毒”在局域網中進行自我傳播。感染除系統盤外所有盤符下的EXE可執行文件、網頁文件、RAR和ZIP壓縮包中的文件等(加密感染),感染后的程序變為16位的圖標,圖標變模糊,類似于馬賽克。一旦發現與安全相關的窗口存在,強行將其關閉。在所有盤符下生成“autorun.inf”和病毒體,并且對這些文件進行實時檢測保護,利用移動設備進行傳播。破壞注冊表,致使用戶無法進入“安全模式”、無法查看隱藏的系統文件,致使注冊表啟動項失效。修改注冊表,實現開啟自動播放的功能。強行刪除所有安全軟件的關聯注冊表項,使其無法開啟監控。利用進程守護技術,將病毒的“lsass.exe”、“smss.exe”進程主體和DLL組件進行關聯,實現進程守護,一旦病毒文件被刪除或被關閉,便馬上生成并重新運行。以系統級權限運行,部分進程使用了進程保護技術。利用控制臺命令來設置病毒程序文件的訪問運行權限。利用了重啟移動文件的技術,在重新啟動計算機時會把病毒主程序體移動存在到系統[啟動]文件夾中,實現開機自啟動!扒ё阆x”變種cp會在被感染計算機系統的后臺訪問駭客指定的廣告站點,進行提升訪問量,刷網絡排名等操作。另外,“千足蟲”變種cp還可以自升級。