日前,国内著名计算机反病毒厂商江民科技根据病毒造成的损失大小、病毒发作的频次及潜在危害等特征,综合了用户病毒上报数据以及江民病毒预警系统数据,发布了2004年度十大病毒排行。
震荡波及变种(I-Worm/Sasser)
作者:江民科技
日前,国内著名计算机反病毒厂商江民科技根据病毒造成的损失大小、病毒发作的频次及潜在危害等特征,综合了用户病毒上报数据以及江民病毒预警系统数据,发布了2004年度十大病毒排行。
2004年10大病毒排行
(北京江民反病毒研究中心)
1、“震荡波”及变种(I-Worm/Sasser)
2004年的"毒王"宝座最终被“震荡波”病毒夺得。2004年"五一"期间及其后的短短的十几天内,一个叫“震荡波”的蠕虫病毒席卷了全世界,数千万的电脑瘫痪,数亿的财产在这次浩劫中付诸东流。“震荡波”一夜之间成为家喻户晓的病毒,至今许多电脑用户仍心有余悸,其毒性之大,造成后果之严重堪称2004年之最。
“震荡波”病毒自2004年5月1日首次被截获以来,短短几天席卷全球,12天之内接连出现6个变种。“震荡波”由18岁的德国少年斯文·扬森编写,该病毒跟2003年的"冲击波"病毒非常类似,同属于的网络蠕虫,感染Windows 2000、Windows Server 2003、Windows XP系统,它是利用微软的MS04-011漏洞,通过互联网进行传播,但不通过邮件传播。蠕虫能自动在网络上搜索含有漏洞的系统,在含有漏洞的系统的TCP端口5554建立FTP文件服务器,自动创建FTP脚本文件,并运行该脚本,该脚本能自动引导被感染的机器下载执行蠕虫程序,用户一旦感染后,病毒将从TCP的1068端口开始搜寻可能传播的IP地址,系统将开启上百个线程去攻击他人,造成计算机运行异常缓慢、网络不畅通,并让系统不停重新启动。
(震荡波病毒区域分布图)
网络天空和网银大盗
2、网络天空及变种
2004年2月19日网络天空病毒(I-Worm/NetSky.b)被首次截获后,至今的9个月内,该病毒几乎每天都以最高上报率和最高爆发率蝉联病毒榜榜首。“网络天空” (I-Worm/NetSky)及变种均通过网络传播的蠕虫,感染病毒后,病毒首先在Windir创建自身文件,有时还会在共享文件夹中生成自身拷贝,并修改注册表启动项,使病毒在Windows启动时就得以运行,甚至会试图删除多个重要的注册表键值,达到影响系统运行的目的。该病毒在感染计算机的硬盘和网络映射驱动器上搜索电子邮件地址,利用其自带的SMTP引擎通过发送电子邮件传播。带毒电子邮件的主题、内容和附件名称随机变化,根据收信人邮件地址的域名,使用包括英语、法语、意大利语等共9种不同语言。病毒在被感染计算机上打开后门端口,接收并运行黑客发送的任何程序文件并会在特定期间对某些网站发动拒绝服务(DoS)攻击。该病毒的表现形式也非常跟随潮流,它通过网络的邮件来传播,甚至充当震荡波变种b的专杀工具。同时也还能伪装成一些非常流行的病毒的专杀工具,它们是大名鼎鼎的:冲击波、MYDOOM、雏鹰等网络蠕虫。
3、网银大盗及其变种
“网银大盗”是2004年上半年产生的以专门偷窃资金为目的的木马病毒,从4月到7月的3个月间出现3次变种,作者并非同一人,但危害程度和目的性如出一辙。由于发现及时,网银大盗并没有造成很大经济损失,但是其偷窃亿万网上资产的险恶用心可谓歹毒。根据其巨大的潜在危害性,网银大盗位列2004年10大病毒三甲。
2004年4月18日、19日,江民反病毒中心接连截获“网银大盗”(Trojan/PSW.HidWebmon.a)木马及变种Trojan/PSW.HidWebmon.b。该木马偷取中国工商银行个人网上银行的帐号和密码。用户电脑感染木马后,木马首先在 用户计算机中创建expl0er.exe本身文件,还创建expl0er.dll挂钩和发信模块dll文件,并修改注册表,木马在系统启动时就可以运行。病毒运行后会调用expl0er.dll,设置消息挂钩。Expl0er.dll和病毒主程序之间通过一块共享内存交换数据。病毒主程序开启2个计时器,计时器1每隔3秒钟检查是否有常用反病毒和防火墙软件运行,一旦发现则立即终止这些进程,同时还自动回写病毒注册表项和病毒文件。计时器2每隔0.5秒搜索用户的IE窗口,如果发现用户正在"个人网上银行"的登陆界面,则尝试窃取注册卡号和密码。一旦成功,就把窃取到的信息保存到共享内存中。Expl0er.dll被设置成消息挂钩后,用户对窗口的任何操作都会激活病毒代码。它将尝试连接某网站,用以判断当前网络是否接通。如果连接成功,就会把共享内存中保存的用户帐号和密码通过电子邮件发送给病毒作者。
挪威客病毒
4、挪威客病毒
“挪威客”病毒,可称为2004年十大病毒的"急先锋",从年初开始,几乎是伴随电脑用户时间最长的病毒,其危害性和顽固性也不逊色于网络天空,很长一段时间,他是用户上报最多的病毒,但由于其爆发总量少于网络天空,屈居第四名。
2004年1月27日, “挪威客”(I-WORM/Novarg后为I-Worm/Mydoom)蠕虫病毒首次被截获,病毒运行后,在Windows目录下生成自身的拷贝,使用Word的图标,并在共享文件夹中生成自身拷贝,病毒修改注册表项,使得自身能够在系统启动时自动运行。病毒运行后随机删除从C到Z的所有驱动器中以.mdb .doc .xls .sav .jpg .avi .bmp为后缀名的文件,并在删除文件夹下生成.ZIP为后缀的病毒体。蠕虫程序利用自身的SMTP引擎,搜索有效的邮件地址,发送自身,发送蠕虫的邮件的主题、发件人、甚至附件的名称等都是随机变化的,病毒本身是一个可执行文件,可能包含在一个ZIP压缩包里。计算机感染病毒后,会设置后门,开放TCP 端口,允许攻击者连接此计算机并利用一个代理获得访问网络资源的权限,后门程序还可以下载和执行任意的文件。该蠕虫还有可能通过Kazza共享程序来传播自身。
雏鹰病毒及其变种
5、“雏鹰”病毒及其变种
“雏鹰”病毒可算作2004年病毒家族里的百变金刚,从首次被截获,到目前为止已出现数十个变种,病毒变种首次耗尽了26个字母,而不得不以I-Worm/BBEagle.ab的形式加以标别,最新的雏鹰变种已以AU命名。病毒每次变种都是为了躲避反病毒厂商追杀和进行更大范围的传播,入选2004年10大病毒实至名归。
2004年1月19日,“雏鹰” 蠕虫病毒首次被截获,有趣的是,在后期的变种中,“雏鹰”病毒作者和“网络天空”病毒作者互相指责对方盗窃了其病毒源代码,在向外传播的时候也不忘骂上几句,甚至变种I-Worm/BBEagle.o如果发现用户计算机已经感染了“网络天空”病毒,会自动将之清除。
该病毒利用电子邮件、文件共享软件(如Kazza, iMesh)、后门进行传播,感染病毒后,病毒将自身复制到名字包含"shar"字样的文件夹中,并把自己重命名,把自己的伪装为计算器、电子表格文件、钟表、文本文件、看图、播放、办公等类似的图标,在感染每个新文件时进行变形,使查杀难度增加。修改注册表键值,使自身可以在系统启动时运行,病毒运行后,搜索用户系统内所有合法电子邮件地址,并使用的自带的SMTP向这些地址发送带毒的电子邮件,其伪造的发信人地址和收信用户的邮件地址具有相同的域名称,以加密压缩包的形式,将自身隐藏在邮件附件中向外疯狂传播,更具欺骗性。病毒同时具有后门能力,在TCP端口2745打开后门,把在后门监听到的端口和IP地址发送给攻击者。后期变种病毒尝试结束绝大多数国外杀毒软件、防火墙、常用监控程序和某些病毒进程。
(雏鹰病毒区域分布图)
证券大盗
6、证券大盗
证券大盗是2004年病毒家族中的晚辈,11月25日刚出生不久则被截获。但是其巨大的潜在危害让人们不得不对其刮目相看。它的主要特征是隐蔽的偷盗性,能够盗窃股票帐号操纵交易,直接威胁资产数目之大不亚于“网银大盗”的危害。更为可恶的是,它将自己伪装成北京证券交易专业网站---------"首放"网的网页,让许多用户"误入歧途"。该病毒的狠辣之处还在于,其病毒作者将病毒网址在百度竞价排名排到第一位,许多不知内情的网上用户被骗。虽然证券大盗被没有造成数额非常巨大的损失,但根据媒体报道已经发现有证券资金丢失现象。"证券大盗"之毒,引起了有正义感的黑客团体的愤怒,就在其产生后的一周内,其网页被黑客黑掉了。
2004年11月25日,江民反病毒中心截获Trojan/PSW.Soufan特洛依木马病毒。该木马可以盗 取多家证券交易系统的交易帐户和密码。木马运行时寻找一些包含著名券商名称的窗口标题,如果发现就开始启动键盘钩子对用户登陆信息进行记录,包括用户名和密码。.在记录键盘信息的同时,通过屏幕快照将用户登陆时窗口画面保存为图片,存放于:c:\Screen1.bmp、c:\Screen2.bmp。当记录指定次数后,将3,4中记录的信息和图片通过电子邮件发送到webmaster@****.com.发送成功后,病毒进行自杀,将自身删除。
Win32/Parite病毒及变种
7、Win32/Parite病毒及变种
Win32/Parite及变种虽然破坏性不大但是以其广泛的传播范围和极高的爆发频率抢占了2004年度爆发率的第三名。 综合排名位列排行榜第七名。
(Win32/Parite 病毒走势图)
这是一个靠邮件传播来感染的病毒,当该病毒进入用户邮箱后就会自动搜索邮件地址发送有毒邮件,收件方发现是朋友或业务伙伴发来的信往往会点击查阅导致中毒。目前,电子邮件成为办公、沟通的主要工具之一,使用频率之高大有逐步替代电话之势。电子邮件的频繁使用使得此类病毒暴发几率几何级增长,形成庞大的"病毒传播集团"。当然用户警惕性不高,不能及时开启杀毒软件监控系统也是中招的主要因素。
卡勾病毒及变种
8、"卡勾"病毒及变种
国内病毒发展从泊来品到本土化再到地域化发展成为去年和今年病毒发展的一个明显走势,许多病毒只在小范围内传播,但是其爆发次数及感染范围却是"广域病毒都无可比拟的。位列第三季度十大病毒之一的"卡勾"(I-Worm/Korgo.v)就主要集中在北京地区爆发感染率达到90.55%。综合全年的病毒上报来看,该病毒也名列前茅仅次于网络天空和雏鹰,因此综合牌名与WIN32病毒并列第七位。
造成病毒各地区分布不均的其他原因主要有两条,第一是电脑及网络的普及率使然,第二是当地电脑用户的素质(病毒防护知识和警惕性)以及相关病毒防护措施的差异化造成的。
(“卡勾”病毒区域分布图)
超级密码杀手和PolyBoot(WYX.B)病毒
9、“超级密码杀手”病毒及变种
“超级密码杀手”(也叫“爱情后门”)也是个成员繁多的病毒族群,目前变种也已经超过26个字母的范围。超级密码杀手是个具有木马功能的蠕虫,它能够以最隐蔽的手法获得并复制目标数据库的密码,并进入。超级密码能够自动搜索并终止杀毒软件的运行,其潜在危害可见一斑,该病毒以其爆发频次和爆发后的危害性,排名病毒榜第九名。
"超级密码杀手"是群发邮件蠕虫,企图发送自身到在从感染计算机上找到的所有邮件地址。利用DCOM RPC 漏洞TCP端口135进行传播,还通过网络共享进行传播。邮件的发件人地址是伪造的,主题和邮件正文都是变化的。 它不但带有自发信模块向外狂发带毒邮件,而且能破解系统弱口令,并通过各种网络共享传播自身,更人严重的是,病毒入侵后,还会在电脑上开一个后门,黑客可以远程操纵进行任意操作。
超级密码杀手能够搜索所有的移 动硬盘(包括U盘等)和映射驱动器,将其中的.EXE文件的扩展名修改为.zmx,并设置为隐藏和系统属性,然后将病毒自身取代原文件。
(“超级密码杀手”病毒走势图)
10、PolyBoot(WYX.B)引导区病毒
PolyBoot(也叫WYX.B)是一种典型的感染主引导扇区和第一硬盘DOS引导区的内存驻留型和加密引导型病毒。这种感染方式与一般的引导型病毒是不太一样的。它也能感染软盘的引导区。这种病毒会把最初的引导区储存在不同位置,这取决于它是DBR、MBR还是软盘的引导区。它不会感染和破坏任何文件,但一旦发作,WYX.b发作后会将主引导区搬家移位至61扇区,并用一个错误的引导区或是乱码来覆盖0扇区,这样就会使硬盘所有的分区及数据丢失。感染对象可以是任何的平台包括:Windows,Unix,Linux,Macintosh等。
网友评论