江民2007年度十大病毒及病毒疫情报告

病毒疫情感染状况

2008年1月2日，计算机反病毒软件厂商江民科技发布了2007年年度病毒疫情报告以及十大病毒排行。

截止到2007年12月31日，江民反病毒中心共截获新病毒总数为363000余种，较去年全年增长601%。根据江民全球病毒监测网(国内部分)、江民病毒预警中心、客户服务中心等多个部门联合监测统计，截止到2007年12月份，病毒累计感染计算机 34414793 台，其中78%以上的病毒为木马、后门病毒。

监测数据显示，利用微软系统自动播放功能传播的Autorun（U盘寄生虫）病毒感染率居高不下，全年高居病毒排行榜榜首，U盘寄生虫也因此成为2007年年度“毒王”。从2007年下半年开始，ARP病毒开始发威，众多企业局域网感染了ARP病毒，ARP病毒由于其发作的时候会向全网群发伪造的ARP数据包，一台机器中毒，就可能导致整个局域网瘫痪，严重影响了企业网络的正常运行， ARP病毒也因此成为2007年十大病毒之亚军；网游盗号病毒自2006年就一直位居十大病毒之列，进入2007年更是不断变种，频频发作，六七月份更是进入病毒发作高峰，众多网络游戏玩家反映游戏帐号、密码被盗，因此被列为十大病毒之三；利用MSN传播的“性感相册”病毒今年一年集中发生了三次疫情，最近的一次借“圣诞祝福”名义疯狂传播，中毒的电脑会成为黑客操作的“僵尸电脑”，病毒因此名列十大病毒之四；ANI病毒利用微软年中暴出的MS07-017漏洞（也称“光标漏洞”）疯狂传播，全年超过50%的网页木马通过该漏洞传播;“机器狗”病毒利用网吧普遍未安装杀毒软件的漏洞，通过穿透系统还原软件或硬盘还原卡的方式，在网吧疯狂传播，成为2007年网吧业主最头疼的病毒；“代理木马”也是今年多发的主要病毒之一，病毒不但可以远程控制中毒电脑，还可以下载大量恶意程序，严重威胁电脑用户数据安全；Real脚本病毒今年尤其多，许多网页木马开始利用Real格式的文件可以方便嵌入网址的特征，传播大量带有病毒网页的带毒视频文件，许多喜欢网上下载视频文件的用户因此中毒；“熊猫烧香”病毒在去年年底被首次截获以后，在2007年1、2月份不断发作，因此仍然被列入2007年十大病毒之列。以上病毒分列为2007年十大病毒后六位。

 病毒整体情况及特征

2007年计算机病毒整体情况及特征

据江民反病毒预警中心、江民全球病毒监测网提供的数据显示，截至12月份，江民反病毒中心共截获计算机新病毒总数为363000余种，这一数字是2006年的六倍多，至此江民杀毒软件KV系列病毒库总量已经超过80万。2007年全年病毒累计感染电脑 34414793台，新病毒感染电脑台数为28879529台，其中木马病毒感染24875117 台，占病毒总数的72.28%；后门病毒感染1987821台，占病毒总数的5.78%；蠕虫病毒感染1556124台，占病毒总数的4.52%；流氓软件感染2502563台，占病毒总数的7.27%；脚本病毒80026台，占病毒总数的0.23%。

2007年上半年计算机病毒增长较为平缓，下半年计算机病毒增长迅猛，江民反病毒中心全年截获的病毒中，有三分之二的新病毒系下半年截获，平均日升级病毒数量近2000种。综合来看，2007年计算机病毒呈现以下特征：

一、AUTO类病毒发作率居高不下，移动存储安全堪扰

利有微软系统AUTORUN自动播放功能的病毒进入2007年以后一直居高不下，几乎所有新的木马病毒都具备了这一传播特征。例如年度十大病毒“熊猫烧香”、“ANI病毒”等都可利用AUTORUN自动播放功能通过U盘传播。去年底和今年年底爆发的“熊猫烧香”病毒导致上百万台电脑受到损害，而U盘正是病毒传播和藏身的主要介质。 “熊猫烧香”病毒会向U盘释放出一个名为“autorun.inf”的病毒文件，使用U盘的用户只要双击U盘，就会激活并运行病毒。“ANI病毒”同样具有这一特征，病毒除了自我复制到各逻辑磁盘根目录下，创建“autorun.inf”自动播放配置文件，用户一旦双击盘符即可激活病毒，造成再次感染。许多通过网页挂马传播的病毒均具有此类特征，普通用户即使格式化C盘重装系统，双击带毒U盘或其它硬盘分区，病毒仍然能够激活。

 据不完全统计，中国国内的U盘和移动硬盘的保有量在2006年已经突破3000万只。U盘和移动硬盘已经成为了IT从业人员以及商务人士必备的基本沟通工具。如同当年的软盘一样，U盘已经成为最大的计算机病毒载体，保护U盘等移动存储设备数据安全，阻止病毒通过U盘等移动存储设备疯狂传播，已经成为反病毒厂商面临的主要问题之一。

 病毒整体情况及特征

二、应用软件漏洞成网页挂马新宠

众所周知，近几年以来，微软系统漏洞一直是网页木马的最主要传播途径。然而，2007年下半年，江民科技反病毒中心最新的监测结果显示，越来越多的病毒开始绕开微软系统漏洞，转而利用国产应用软件的漏洞传播。

江民科技反病毒中心最新的网页挂马漏洞监测结果显示，自2007年9月到11月这短短的三个月以来，国产应用软件漏洞已经超越了微软MS06-14和MS07-17这两大网页木马最常用的漏洞，成为网页挂马的“新宠”。

监测结果显示，9月初网页木马利用微软漏洞比例还高达90%，而进入10月以来网页木马利用国产应用软件漏洞的比例大幅提高，到11月网页木马利用国产应用软件漏洞的比例达到了45%，而利用微软漏洞的比例仅为30%，网页挂马利用国产应用软件漏洞进行传播已经成为病毒发展新趋势。

三、自杀式病毒越来越多，隐蔽性更强

 进入2007年以来，更多的病毒开始刻意隐藏自身，以此逃避杀毒软件查杀并更深地潜伏在目标电脑中，在电脑用户毫无知觉的情况下完成盗号窃密过程。与去年“熊猫烧香”发作后在电脑中生成无处不在的熊猫图案不同，现在的病毒作者在编写病毒时更加注重自身的隐蔽。病毒作者主要采用三大隐身术，通过RootKit技术隐藏病毒进程、病毒文件、隐藏数据传输端口以及注册表内键值；通过篡改注册表相关键值屏蔽显示隐藏文件的功能；使用IEFO重定向劫持技术禁止杀毒软件运行。

如“证券大盗”病毒在完成盗号目的后，就会自杀，清除所有自身留在电脑里的蛛丝马迹，让受害者找不到任何破案线索；而灰鸽子(Backdoor/Huigezi)后门病毒、友好客户(Backdoor/PcClient)后门病毒，以及部分版本的网游大盗(Trojan/PSW.GamePass)木马等，都采用RootKit技术编写，以达到隐藏自身，躲避检测，躲避查杀的目的。

四、ARP病毒多发 企业局域网受害严重

2007年上半年，江民科技就已经提出ARP病毒将成为病毒发展的一个新趋势，果然在下半年，ARP类越来越多，几乎多数企业的网络故障均来自ARP病毒。ARP病毒也叫做ARP地址欺骗类病毒，是一类特殊的病毒。该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制，但是由于其发作的时候会向全网发送伪造的ARP数据包，严重干扰全网的正常运行，其危害甚至比一些蠕虫病毒还要严重得多。

ARP病毒发作时，通常会造成网络掉线，但网络连接正常，内网的部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重影响到企业网络、网吧、校园网络等局域网的正常运行。更为严重的是，近期网上流行的ARP病毒新变种出现了新特征，该类ARP病毒同样是向全网发送伪造的ARP欺骗广播，但病毒把自身伪装成网关，在所有用户请求访问的网页添加恶意代码，导致杀毒软件在用户访问任意网站均发出病毒警报。

五、越来越多的病毒通过视频文件传播

随着2007年BT以及播客的应用与繁荣，众多网民热衷于网上下载电影、电视等视频文件，病毒开始瞄准这一传播途径大肆传播。黑客最常用的视频漏洞无疑应该是Real脚本漏洞。由于Real格式的视频文件可以内嵌一个网址，并在打开视频文件时自动打开内嵌的网址，因此许多黑客在一些热门的视频文件内嵌入一个带有大量病毒的恶意网址。一旦网友下载并打开了该视频文件，即可从嵌入的恶意网址中下载大量的病毒，轻者电脑运行缓慢直至死机，严重的中毒电脑将会成为黑客手中肉鸡，电脑内所有的数据和资料都可以被黑客轻易窃取。由于利用Real格式的视频传播病毒非常简单方便，大量的网友中招，因此利用该漏洞的Exploit.JS.Real（Real脚本病毒）得以迅速蔓延，也因此被列入2007年十大病毒之列。

 2007年十大病毒档案

附：2007年十大病毒档案

根据江民全球病毒监测网(国内部分)、江民病毒预警中心、客户服务中心等多个部门联合监测统计，综合病毒的破坏能力以及传播范围，江民反病毒中心公布了2007年度十大病毒排行：                  

一、 U盘寄生虫
病毒名称：Virus.Autorun.gr
中 文 名："U盘寄生虫"变种gr
病毒长度：22096字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Virus.Autorun “U盘寄生虫”是一个利用U盘等移动设备进行传播的蠕虫。“U盘寄生虫”是针对autorun.inf这样的自动播放文件的蠕虫病毒。autorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下，当用户双击U盘等设备的时候，该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件，而该文件就会立即执行所要加载的病毒程序，从而破坏用户计算机，使用户计算机遭受损失。

二、 ARP病毒
病毒名称：“ARP”类病毒
病毒中文名：“ARP”类病毒
病毒类型：木马
危险级别：★★★
影响平台：Win 9X/ME/NT/2000/XP/2003
描述：ARP地址欺骗类病毒（以下简称ARP病毒）是一类特殊的病毒，该病毒一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。 用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

三、 网游大盗
病毒名称：Trojan/PSW.GamePass.jws
中 文 名：“网游大盗”变种jws
病毒长度：13739字节
病毒类型：木马
危害等级：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.GamePass.jws“网游大盗”变种jws是“网游大盗”木马家族最新变种之一，采用Visual C++编写，并经过加壳处理。“网游大盗”变种jws运行后，会将自我复制到Windows目录下，自我注册为“Windows_Down”系统服务，实现开机自启。该病毒会盗取包括“传奇世界”、“魔兽世界”、“完美世界”、“征途”、“武林外传”等多款网游玩家的帐户和密码，并且会下载其它病毒到本地运行。玩家计算机一旦中毒，就可能导致游戏帐号、装备等丢失，给玩家带来损失。

四、 MSN性感相册
病毒名称：Worm/MSN.SendPhoto.a
中 文 名：性感相册
病毒类型：蠕虫
危害等级：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
病毒运行特征：
   该病毒运行时，会通过MSN即时聊天工具向MSN上的好友发送大小为479382 字节的photos.zip 病毒包，该压缩包里面包含名为photos album-2007-5-26.scr病毒文件，同时会随机向好友发送一些带有诱惑性的信息，如：“看看我的性感相片”，“圣诞节快乐”等。

五、 ANI病毒
病毒名称：Exploit.ANIfile
病毒中文名：ANI病毒
病毒类型：蠕虫
危险级别：★★
影响平台：Windows 2000/XP/2003/Vista
描述： 以Exploit.ANIfile.b为例，“ANI毒”变种b是一个利用微软Windows系统ANI文件处理漏洞(MS07-017)进行传播的网络蠕虫。“ANI毒”变种b运行后，自我复制到系统目录下。修改注册表，实现开机自启动。感染正常的可执行文件和本地网页文件，并下载大量木马程序。感染本地磁盘和网络共享目录下的多种类型的网页文件（包括*.HTML，*.ASPX，*.HTM，*.PHP，*.JSP，*.ASP），植入利用ANI文件处理漏洞的恶意代码。自我复制到各逻辑盘根目录下，并创建autorun.inf自动播放配置文件。双击盘符即可激活病毒，造成再次感染。修改hosts文件，屏蔽多个网址，这些网址大多是以前用来传播其它病毒的站点。另外，“ANI毒”变种b还可以利用自带的SMTP引擎通过电子邮件进行传播。

2007年十大病毒档案

六、 机器狗病毒
病毒名称：Trojan/Agent.pgz
中 文 名：机器狗
病毒类型：木马
危害等级：★★★
影响平台：Win 9X/ME/NT/2000/XP/2003
病毒运行特征：
“机器狗”病毒主要在网吧等使用系统还原软件以及硬盘还原卡的环境下发作。病毒运行后，会在%WinDir%System32drivers 目录下释放出一个名为pcihdd.sys 的驱动程序，该文件会接管冰点或者硬盘保护卡对硬盘的读写操作，这样该病毒就破解了还原系统的保护，使冰点、硬盘保护卡实效。接着，该病毒会利用MS06-014和MS07-017系统漏洞和等多个应用软件漏洞，从http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等恶意网址下载多款网游木马，盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码，严重威胁游戏玩家数字财产的安全。正因为还原软件和硬盘保护卡大多在网吧使用，因此网吧成为该病毒发作的重灾区。

七、 代理木马
病毒名称：Trojan/Agent
病毒中文名：代理木马
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
描述：盗取用户机密信息，下载恶意程序。
“代理木马”及其变种是一个盗取用户计算机上机密信息的木马程序。“代理木马”变种cfd运行后，自我复制到Windows目录下。修改注册表，实现开机自启。侦听黑客指令，盗取用户计算机上的机密信息，并将机密信息发送到黑客指定的邮箱里。“代理木马”会从网上下载大量的恶意程序，通过系统漏洞感染目标电脑，中毒电脑可能会成为黑客操纵的“肉鸡”，严重威胁电脑中的数据安全。

八、 AV杀手
病毒名称：Trojan/KillAV.ak
中 文 名：“AV杀手”变种ak
病毒长度：19293字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
　　Trojan/KillAV.ak“AV杀手”变种ak是“AV杀手”木马家族的最新成员之一，采用Delphi语言编写，并经过加壳处理。“AV杀手”变种ak运行后，自我修改文件属性为“隐藏”。强行篡改注册表相关键值，致使文件夹选项中的“显示隐藏文件”功能失效。利用Windows映像劫持技术（IFEO），修改注册表，致使许多与安全相关的软件无法启动运行。在被感染计算机的后台调用系统“spoolsv.exe”进程，将恶意代码注入其中并调用运行，隐藏自我，防止被查杀。在后台连接骇客指定远程服务器站点，下载恶意程序并在被感染计算机上自动调用运行。在所有盘根目录下生成“autorun.inf”文件（磁盘映像劫持文件）和病毒体文件，实现用户一双击盘符就启动“AV杀手”变种ak运行的功能。

九、 Real脚本病毒
病毒名称：Exploit.JS.Real
中文名：Real脚本病毒
病毒长度：可变
类型：网页脚本
危害等级：★★★
影响平台: Windows98/2000/2003/xp
描述：Real脚本病毒是利用RealPlayer播放器ActiveX控件安全漏洞的恶意网页脚本，常用于
自动下载执行木马程序。病毒隐藏在Real格式的视频文件中，用户一旦下载点击运行便会立刻中毒，许多热衷于网上下载视频文件的电脑用户因此中毒。

十、 熊猫烧香
病毒名称：Worm.WhBoy.h
中文名：“熊猫烧香”
病毒长度：可变
病毒类型：蠕虫
危害等级：★★★★
影响平台：Win9X/ME/NT/2000/XP/2003
以Worm.WhBoy.h为例，熊猫烧香是一个由Delphi工具编写的蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程，病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe.病毒还可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行。
　　“熊猫烧香”还可以修改注册表启动项，以使自身随操作系统同步运行。搜索硬盘中的*.EXE可执行文件并感染文件，被感染的文件图标变成“熊猫烧香”的图案。病毒还可以通过共享文件夹、系统弱口令等多种方式进行传播。