日前,国内著名计算机反病毒厂商江民科技根据病毒造成的损失大小、病毒发作的频次及潜在危害等特征,综合了用户病毒上报数据以及江民病毒预警系统数据,发布了2004年度十大病毒排行。
网络天空和网银大盗
2、网络天空及变种
2004年2月19日网络天空病毒(I-Worm/NetSky.b)被首次截获后,至今的9个月内,该病毒几乎每天都以最高上报率和最高爆发率蝉联病毒榜榜首。“网络天空” (I-Worm/NetSky)及变种均通过网络传播的蠕虫,感染病毒后,病毒首先在Windir创建自身文件,有时还会在共享文件夹中生成自身拷贝,并修改注册表启动项,使病毒在Windows启动时就得以运行,甚至会试图删除多个重要的注册表键值,达到影响系统运行的目的。该病毒在感染计算机的硬盘和网络映射驱动器上搜索电子邮件地址,利用其自带的SMTP引擎通过发送电子邮件传播。带毒电子邮件的主题、内容和附件名称随机变化,根据收信人邮件地址的域名,使用包括英语、法语、意大利语等共9种不同语言。病毒在被感染计算机上打开后门端口,接收并运行黑客发送的任何程序文件并会在特定期间对某些网站发动拒绝服务(DoS)攻击。该病毒的表现形式也非常跟随潮流,它通过网络的邮件来传播,甚至充当震荡波变种b的专杀工具。同时也还能伪装成一些非常流行的病毒的专杀工具,它们是大名鼎鼎的:冲击波、MYDOOM、雏鹰等网络蠕虫。
3、网银大盗及其变种
“网银大盗”是2004年上半年产生的以专门偷窃资金为目的的木马病毒,从4月到7月的3个月间出现3次变种,作者并非同一人,但危害程度和目的性如出一辙。由于发现及时,网银大盗并没有造成很大经济损失,但是其偷窃亿万网上资产的险恶用心可谓歹毒。根据其巨大的潜在危害性,网银大盗位列2004年10大病毒三甲。
2004年4月18日、19日,江民反病毒中心接连截获“网银大盗”(Trojan/PSW.HidWebmon.a)木马及变种Trojan/PSW.HidWebmon.b。该木马偷取中国工商银行个人网上银行的帐号和密码。用户电脑感染木马后,木马首先在 用户计算机中创建expl0er.exe本身文件,还创建expl0er.dll挂钩和发信模块dll文件,并修改注册表,木马在系统启动时就可以运行。病毒运行后会调用expl0er.dll,设置消息挂钩。Expl0er.dll和病毒主程序之间通过一块共享内存交换数据。病毒主程序开启2个计时器,计时器1每隔3秒钟检查是否有常用反病毒和防火墙软件运行,一旦发现则立即终止这些进程,同时还自动回写病毒注册表项和病毒文件。计时器2每隔0.5秒搜索用户的IE窗口,如果发现用户正在"个人网上银行"的登陆界面,则尝试窃取注册卡号和密码。一旦成功,就把窃取到的信息保存到共享内存中。Expl0er.dll被设置成消息挂钩后,用户对窗口的任何操作都会激活病毒代码。它将尝试连接某网站,用以判断当前网络是否接通。如果连接成功,就会把共享内存中保存的用户帐号和密码通过电子邮件发送给病毒作者。
网友评论