國內權威計算機反病毒廠商江民科技日前發布2008年度計算機病毒疫情調查報告暨年度十大病毒。據江民反病毒中心、江民客戶服務中心、江民全球反病毒監測網、江民全國惡意網頁監測系統、江民KV病毒預警系統聯合統計,綜合感染的用戶計算機臺數、病毒的危害性、病毒新技術、清除難易程度等因素,評出2008年度十大熱門病毒。
在江民公司2008年度截獲的所有病毒中,網游盜號類病毒最為猖獗,“網游竊賊”“網游大盜”病毒分別占據十大病毒第一、二名,而在病毒感染計算機臺數前20名病毒中,網絡游戲盜號木馬占了10個席位,上千萬臺電腦被此類病毒感染。 “網游竊賊”病毒以壓倒其它病毒的絕對優勢一舉成為2008年度“毒王”,而去年的“毒王”“U盤寄生蟲”則下降到第四位。
2008年度十大計算機病毒檔案:
(1) “網游竊賊”及其變種
病毒名稱:Trojan/PSW.OnLineGames
病毒類型:木馬
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描 述:Trojan/PSW.OnLineGames“網游竊賊”是一個盜取網絡游戲帳號的木馬程序,會在被感染計算機系統的后臺秘密監視用戶運行的所有應用程序窗口標題,然后利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡游戲玩家的游戲帳號、游戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息資料,并在后臺將盜取的所有玩家信息資料發送到駭客指定的遠程服務器站點上。致使網絡游戲玩家的游戲帳號、裝備物品、金錢等丟失,會給游戲玩家帶去不同程度的損失。 “網游竊賊”會通過在被感染計算機系統注冊表中添加啟動項的方式,來實現木馬開機自啟動。
(2) “網游大盜”及其變種
病毒名稱:Trojan/PSW.GamePass
中 文 名:網游大盜
病毒類型:木馬
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描 述:Trojan/PSW.GamePass“網游大盜”是一個盜取網絡游戲帳號的木馬程序,會在被感染計算機系統的后臺秘密監視用戶運行的所有應用程序窗口標題,然后利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡游戲玩家的游戲帳號、游戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息資料,并在后臺將盜取的所有玩家信息資料發送到駭客指定的遠程服務器站點上。致使網絡游戲玩家的游戲帳號、裝備物品、金錢等丟失,會給游戲玩家帶去不同程度的損失。 “網游大盜”會通過在被感染計算機系統注冊表中添加啟動項的方式,來實現木馬開機自啟動。
(3) “代理木馬”及其變種
病毒名稱:Trojan/Agent
中 文 名:代理木馬
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描 述:Trojan/Agent“代理木馬”是木馬家族的最新成員之一,采用高級語言編寫,并經過加殼保護處理。“代理木馬”運行后,會自我復制到被感染計算機系統中的指定目錄下,修改注冊表,實現開機自啟。在被感染計算機的后臺秘密竊取用戶所使用系統的配置信息,然后從駭客指定的遠程服務器站點下載其它惡意程序并安裝調用運行。其中,所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門和惡意廣告程序等等,會給用戶帶去不同程度的損失。
(4) “U盤寄生蟲”及其變種
病毒名稱:Checker/Autorun
中 文 名:U盤寄生蟲
病毒類型:蠕蟲
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描 述:Checker/Autorun“U盤寄生蟲”是一個利用U盤等移動存儲設備進行自我傳播的蠕蟲病毒。“U盤寄生蟲” 運行后,會自我復制到被感染計算機系統的指定目錄下,并重新命名保存。“U盤寄生蟲”會在被感染計算機系統中的所有磁盤根目錄下創建“autorun.inf”文件和蠕蟲病毒主程序體,來實現用戶雙擊盤符而啟動運行“U盤寄生蟲”蠕蟲病毒主程序體的目的。“U盤寄生蟲”還具有利用U盤、移動硬盤等移動存儲設備進行自我傳播的功能。“U盤寄生蟲”運行時,可能會在被感染計算機系統中定時彈出惡意廣告網頁,或是下載其它惡意程序到被感染計算機系統中并調用安裝運行,會被用戶帶去不同程度的損失。“U盤寄生蟲” 會通過在被感染計算機系統注冊表中添加啟動項的方式,來實現蠕蟲開機自啟動。
(5) “灰鴿子”及其變種
病毒名稱:Backdoor/Huigezi
中 文 名:灰鴿子
病毒類型:后門
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描 述:Backdoor/Huigezi “灰鴿子”是后門家族的最新成員之一,采用Delphi語言編寫,并經過加殼保護處理。“灰鴿子”運行后,會自我復制到被感染計算機系統的指定目錄下,并重新命名保存(文件屬性設置為:只讀、隱藏、存檔)。“灰鴿子”是一個反向連接遠程控制后門程序,運行后會與駭客指定遠程服務器地址進行TCP/IP網絡通訊。中毒后的計算機會變成網絡僵尸,駭客可以遠程任意控制被感染的計算機,還可以竊取用戶計算機里所有的機密信息資料等,會給用戶帶去不同程度的損失。“灰鴿子”會把自身注冊為系統服務,以服務的方式來實現開機自啟動運行。“灰鴿子”主安裝程序執行完畢后,會自我刪除。
(6) “QQ大盜”及其變種
病毒名稱:Trojan/PSW.QQPass
中 文 名:QQ大盜
病毒類型:木馬
危險級別:★
影響平臺:Win9X/2000/XP/NT/Me
描 述:Trojan/PSW.QQPass“QQ大盜”是木馬家族的最新成員之一,采用高級語言編寫, 并經過加殼保護處理。“QQ大盜”運行時,會在被感染計算機的后臺搜索用戶系統中有關QQ注冊表項和程序文件的信息,然后強行刪除用戶計算機中的QQ醫生程序“QQDoctorMain.exe”、“QQDoctor.exe”和“TSVulChk.dat”文件,從而來保護自身不被查殺。“QQ大盜”運行時,會在后臺盜取計算機用戶的QQ帳號、QQ密碼、會員信息、ip地址、ip所屬區域等信息資料,并且會在被感染計算機后臺將竊取到的這些信息資料發送到駭客指定的遠程服務器站點上或郵箱里,會給被感染計算機用戶帶去不同程度的損失。“QQ大盜”通過在注冊表啟動項中添加鍵的方式,來實現開機木馬自啟動。
(7) “Flash蛀蟲”及其變種
病毒名稱:Exploit.CVE-2007-0071
中 文 名:“Flash蛀蟲”變種
病毒類型:腳本病毒
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描 述:Exploit.CVE-2007-0071“Flash蛀蟲”是腳本病毒家族的最新成員之一,采用Flash腳本語言和匯編語言編寫而成,并且代碼經過加密處理,利用“Adobe Flash Player”漏洞傳播其它病毒。“Flash蛀蟲”一般內嵌在正常網頁中,如果用戶計算機沒有及時升級安裝“Adobe Flash Player”提供的相應的漏洞補丁,那么當用戶使用瀏覽器訪問帶有“Flash蛀蟲”的惡意網頁時,就會在當前用戶計算機的后臺連接駭客指定站點,下載其它惡意程序并在被感染計算機上自動運行。所下載的惡意程序一般多為木馬下載器,然后這個木馬下載器還會下載更多的惡意程序安裝到被感染計算機的系統中,會給用戶帶去不同程度的損失。
(8) “初始頁”及其變種
病毒名稱:Trojan/StartPage
中 文 名:“初始頁”及其變種
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描 述:以Trojan/StartPage.aza為例,Trojan/StartPage.aza“初始頁”變種aza是“初始頁”木馬家族中的最新成員之一,采用“Microsoft Visual C++ 6.0”編寫,并且經過加殼保護處理。“初始頁”變種aza運行后,會在被感染計算機系統的“%SystemRoot%\system32\”和“%SystemRoot%\system32\drivers\”目錄下分別釋放惡意DLL功能組件文件“*.dll”(文件名隨機生成,文件大小為:45,056 字節)、惡意驅動文件“*.sys”(文件名隨機生成,文件大小為:28,608 字節)。在被感染計算機系統的后臺定時訪問指定的惡意廣告站點 ,提高這些惡意網站的訪問量(網絡排名),不僅給駭客帶來經濟利益,而且還會嚴重影響和干擾用戶的正常操作。另外,“植木馬器”變種ps還會占用大量系統資源,極大地降低了系統的運行速度。在被感染計算機的后臺秘密竊取用戶當前所使用的系統的配置信息,然后從駭客指定的遠程服務器站點下載惡意程序并調用運行。其中,所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等,會給用戶帶來不同程度的損失。“初始頁”變種aza釋放出來的惡意驅動程序每次啟動后都會強行設置系統IE瀏覽器的默認啟始頁為“http://www.3929.cn/?tn=102731”(“tn=”后面的編號不唯一)。因為該病毒為驅動級病毒,所以用戶計算機一旦感染該病毒后就極難清除干凈。“初始頁”變種aza會通過在被感染計算機中注冊系統服務的方式,來實現木馬開機自啟動。
(9) “機器狗”及其變種
病毒名稱:Trojan/DogArp
中 文 名:機器狗
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描 述:以Trojan/DogArp. h為例,Trojan/DogArp.h“機器狗”變種h是“機器狗”木馬家族的最新成員之一,采用高級語言編寫,并經過加殼保護處理。“機器狗”變種h運行后,在指定目錄下釋放惡意驅動程序并加載運行。通過惡意驅動程序直接掛接磁盤IO端口進行讀寫真實磁盤物理地址中的數據和進行監控關機行為等操作,從而達到穿透還原軟件的目的。覆蓋“explorer.exe”、“userinit.exe”或“regedit.exe”等系統文件,實現“機器狗”變種h開機自啟動。惡意驅動程序還能還原系統“SSDT”,致使某些安全軟件的防御和監控功能失效。惡意破壞注冊表,致使注冊表編輯器無法運行。遍歷當前計算機系統中的進程列表,一旦發現與安全相關的進程,強行將其關閉。修改注冊表,利用進程映像劫持功能禁止近百種安全軟件及調試工具運行。在被感染計算機系統的后臺連接駭客指定站點獲取惡意程序列表,下載列表中的所有惡意程序并在被感染計算機上自動調用運行。其中,所下載的惡意程序可能是網游木馬、廣告程序(流氓軟件)、后門等,給被感染計算機用戶帶去不同程度的損失。
(10) “RPCSS毒手”及其變種
病毒名稱:Win32/Infectrpcss
中 文 名:“RPCSS毒手”及其變種
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描 述:以Win32/Infectrpcss.a為例,Win32/Infectrpcss.a“RPCSS毒手”變種a是“RPCSS毒手”木馬家族中的最新成員之一,采用高級語言編寫,并且經過加殼保護處理。該病毒是由其它惡意程序釋放出來的DLL功能組件文件,一般會被插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系統進程,以及幾乎所有用戶級權限的進程中加載運行,并在被感染計算機系統的后臺執行惡意操作,隱藏自我,防止被用戶發現、被安全軟件查殺。“RPCSS毒手”變種a運行后,會自我復制到被感染計算機系統的“%SystemRoot%\system32\”目錄下,重新命名為“csrss.dll”,釋放病毒組件文件“sh01008.dll”(文件大小:21,504 字節)到“%SystemRoot%\system32\”目錄下。“RPCSS毒手”變種a是一個專門盜取“完美世界Online”、“誅仙Online”等網絡游戲會員賬號的木馬程序,會在被感染計算機的后臺秘密監視用戶系統中所運行著的所有應用程序窗口標題,然后利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡游戲玩家的游戲賬號、游戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息,并在后臺將竊取到的玩家機密信息發送到駭客指定的遠程服務器站點上(地址加密存放),致使網絡游戲玩家的游戲賬號、裝備、物品、金錢等丟失,給游戲玩家帶來不同程度的損失。同時,“RPCSS毒手”變種a還具有竊取玩家游戲賬號密碼保護的功能。因此,當游戲玩家發現自己的游戲賬號被盜時,請千萬不要在當前被感染的計算機上登陸該網絡游戲的官方網站去找回游戲密碼,否則會連同您的密碼保護資料一同被駭客盜取,給您帶來更大程度的損失。利用域名映像劫持功能,在被感染計算機的后臺強行篡改系統中的Hosts文件,屏蔽某些網絡游戲站點,阻止用戶對這些網絡游戲網站的訪問,從而達到用戶丟失賬號后無法馬上取回密碼的目的。“RPCSS毒手”變種a利用進程守護功能來實現自我保護。該病毒會通過替換系統“rpcss.dll”文件來實現開機自啟動。如果安全軟件直接刪除掉帶毒文件“rpcss.dll”的話,會導致被感染計算機無法連接網絡、系統復制(粘貼)功能失效、桌面程序“explorer.exe”啟動緩慢等后果,嚴重影響用戶對計算機系統的正常使用。
(第三媒體 2009-2-8)