江民2008年上半年十大病毒报告(图)

互联网 | 编辑: 黄蔚 2008-07-16 00:30:00原创 返回原文

十大病毒排行及病毒疫情报告

7月8日,国内最大的计算机反病毒软件供应商江民科技发布了2008年上半年十大病毒排行及病毒疫情报告。

据江民反病毒中心统计,从2008年1月1日到2008年6月30日,反病毒中心共截获新病毒206439种。江民KV病毒预警系统数据显示,1至6月全国共有9871681台计算机感染了病毒。


图一

在2008年上半年十大病毒中,高居榜首的是“网游窃贼”及其变种病毒。这类病毒会自我插入到被感染计算机系统中的“explorer.exe”桌面进程以及其它应用程序进程内加载运行,隐藏自我,防止被查杀。这也是上半年来,病毒发展的一大趋势。位居排行榜第二位的是去年就榜上有名的“U盘寄生虫”病毒,该病毒会利用U盘等移动存储设备进行自我传播,上半年的发展势头更是有增无减。位居第三位和第四位的“代理木马”与“网游大盗”都是具有盗窃特征的木马,前者可以偷取计算机用户机密信息,后者可盗取网络游戏玩家帐号密码等信息资料。在这次排名中,“网游窃贼”之所以能稳居榜手位置,与排名第五的“机器狗”病毒“功不可没”,因为如果用户计算机中一个“机器狗”病毒,那么它至少会下载数十个“网游窃贼”盗号木马,这是两个典型的带有利益关联的病毒。位居第六、第七、第八位的分别是“Flash蛀虫”及其变种、“IE大盗”及其变种、“QQ大盗”及其变种。曾经显赫一时的“灰鸽子”后门类病毒位居这次排行的第九位。而前不久在互联网上肆虐,给广大电脑用户造成巨大损失的“千足虫”变种(又名“磁碟机”)病毒,由于及时关闭了所有相关的恶意网站,对该病毒进行了封堵,所以这次排名仅居第十位。

据2008年上半年病毒疫情报告显示,2008年上半年病毒发展的新特征较2007年有所改变。更多的病毒采用了Rootkit技术进行自我保护和隐藏,这类病毒首先会利用驱动程序去还原系统SSDT HOOK,从而使部分安全软件的监控失效,然后将去强行关闭目前几乎所有安全工具软件以及绝大多数的杀毒软件(当然,江民KV2008杀毒软件是可以抵御该类病毒的)。接下来,这类病毒会将恶意DLL组件插入到被感染计算机系统中几乎所有的用户级权限的进程内加载运行,还包括部分系统级权限的进程。并且利用了重启移动技术,在启动计算机时会把病毒主体文件从指定目录下移动到系统[启动]文件夹中,实现开机自启动。病毒启动运行后会将系统[启动]文件夹中的病毒主体文件删除掉。这样可以隐蔽启动,而不被用户轻易发现。

江民全球病毒监测网

根据江民全球病毒监测网(国内部分)、江民病毒预警中心、客户服务中心等多个部门联合监测统计,综合病毒的破坏能力以及传播范围,江民反病毒中心公布了2008上半年度十大病毒排行:


图二

2008年上半年十大病毒档案

一、“网游窃贼”及其变种

病毒名称:Trojan/PSW.OnLineGames

病毒中文名:网游窃贼

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

描述: Trojan/PSW.OnLineGames“网游窃贼”是一个盗取网络游戏帐号的木马程序,会在被感染计算机系统的后台秘密监视用户运行的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料,并在后台将盗取的所有玩家信息资料发送到骇客指定的远程服务器站点上。致使网络游戏玩家的游戏帐号、装备物品、金钱等丢失,会给游戏玩家带去不同程度的损失。 “网游窃贼”会通过在被感染计算机系统注册表中添加启动项的方式,来实现木马开机自启动。

“U盘寄生虫”及其变种

二、“U盘寄生虫”及其变种

病毒名称:Checker/Autorun

病毒中文名:U盘寄生虫

病毒类型:蠕虫

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

描述:Checker/Autorun“U盘寄生虫”是一个利用U盘等移动存储设备进行自我传播的蠕虫病毒。“U盘寄生虫” 运行后,会自我复制到被感染计算机系统的指定目录下,并重新命名保存。“U盘寄生虫”会在被感染计算机系统中的所有磁盘根目录下创建“autorun.inf”文件和蠕虫病毒主程序体,来实现用户双击盘符而启动运行“U盘寄生虫”蠕虫病毒主程序体的目的。“U盘寄生虫”还具有利用U盘、移动硬盘等移动存储设备进行自我传播的功能。“U盘寄生虫”运行时,可能会在被感染计算机系统中定时弹出恶意广告网页,或是下载其它恶意程序到被感染计算机系统中并调用安装运行,会给用户带去不同程度的损失。“U盘寄生虫” 会通过在被感染计算机系统注册表中添加启动项的方式,来实现蠕虫开机自启动。

三、“代理木马”及其变种

病毒名称:Trojan/Agent

病毒中文名:代理木马

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

描述: Trojan/Agent“代理木马”是木马家族的最新成员之一,采用高级语言编写,并经过加壳保护处理。“代理木马”运行后,会自我复制到被感染计算机系统中的指定目录下,修改注册表,实现开机自启。在被感染计算机的后台秘密窃取用户所使用系统的配置信息,然后从骇客指定的远程服务器站点下载其它恶意程序并安装调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门和恶意广告程序等等,会给用户带去不同程度损失。

四、“网游大盗”及其变种

病毒名称:Trojan/PSW.GamePass.Gen

病毒中文名:网游大盗

病毒类型:木马

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

描述:Trojan/PSW.GamePass“网游大盗”是一个盗取网络游戏帐号的木马程序,会在被感染计算机系统的后台秘密监视用户运行的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料,并在后台将盗取的所有玩家信息资料发送到骇客指定的远程服务器站点上。致使网络游戏玩家的游戏帐号、装备物品、金钱等丢失,会给游戏玩家带去不同程度的损失。 “网游大盗”会通过在被感染计算机系统注册表中添加启动项的方式,来实现木马开机自启动。

“机器狗”及其变种

五、“机器狗”及其变种

病毒名称:Trojan/DogArp

病毒中文名:机器狗

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

描述:以Trojan/DogArp. h为例,Trojan/DogArp.h“机器狗”变种h是“机器狗”木马家族的最新成员之一,采用高级语言编写,并经过加壳保护处理。“机器狗”变种h运行后,在指定目录下释放恶意驱动程序并加载运行。通过恶意驱动程序直接挂接磁盘IO端口进行读写真实磁盘物理地址中的数据和进行监控关机行为等操作,从而达到穿透还原软件的目的。覆盖“explorer.exe”、“userinit.exe”或“regedit.exe”等系统文件,实现“机器狗”变种h开机自启动。恶意驱动程序还能还原系统“SSDT”,致使某些安全软件的防御和监控功能失效。恶意破坏注册表,致使注册表编辑器无法运行。遍历当前计算机系统中的进程列表,一旦发现与安全相关的进程,强行将其关闭。修改注册表,利用进程映像劫持功能禁止近百种安全软件及调试工具运行。在被感染计算机系统的后台连接骇客指定站点获取恶意程序列表,下载列表中的所有恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带去不同程度的损失。

六、“Flash蛀虫”及其变种

病毒名称:Exploit.CVE-2007-0071

病毒中文名:“Flash蛀虫”变种

病毒类型:脚本病毒

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

描述:Exploit.CVE-2007-0071“Flash蛀虫”是脚本病毒家族的最新成员之一,采用Flash脚本语言和汇编语言编写而成,并且代码经过加密处理,利用“Adobe Flash Player”漏洞传播其它病毒。“Flash蛀虫”一般内嵌在正常网页中,如果用户计算机没有及时升级安装“Adobe Flash Player”提供的相应的漏洞补丁,那么当用户使用浏览器访问带有“Flash蛀虫”的恶意网页时,就会在当前用户计算机的后台连接骇客指定站点,下载其它恶意程序并在被感染计算机上自动运行。所下载的恶意程序一般多为木马下载器,然后这个木马下载器还会下载更多的恶意程序安装到被感染计算机的系统中,会给用户带去不同程度的损失。

“IE大盗”及其变种

七、“IE大盗”及其变种

病毒名称:TrojanSpy.Iespy

病毒中文名:IE大盗

病毒类型:间谍类木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

描述:TrojanSpy.Iespy“IE大盗”是间谍类木马家族的最新成员之一,采用高级语言编写,并经过加壳保护处理,一般以DLL组件文件的形式存在,利用“BHO”(Browser Helper Objects)劫持技术在被感染计算机系统中随IE浏览器的启动而加载运行。“IE大盗”运行后,会在被感染计算机系统的后台利用HOOK和键盘记录等技术盗取用户在IE浏览器中输入的几乎所有机密信息资料(其中包括:用户名、密码、浏览的网址等),并在被感染计算机后台将窃取到的这些信息资料发送到骇客指定的远程服务器站点上,会给用户带去不同程度的损失。

八、“QQ大盗”及其变种

病毒名称:Trojan/PSW.QQPass

病毒中文名:QQ大盗

病毒类型:木马

危险级别:★

影响平台:Win9X/2000/XP/NT/Me

描述:Trojan/PSW.QQPass“QQ大盗”是木马家族的最新成员之一,采用高级语言编写, 并经过加壳保护处理。“QQ大盗”运行时,会在被感染计算机的后台搜索用户系统中有关QQ注册表项和程序文件的信息,然后强行删除用户计算机中的QQ医生程序“QQDoctorMain.exe”、“QQDoctor.exe”和“TSVulChk.dat”文件,从而来保护自身不被查杀。“QQ大盗”运行时,会在后台盗取计算机用户的QQ帐号、QQ密码、会员信息、ip地址、ip所属区域等信息资料,并且会在被感染计算机后台将窃取到的这些信息资料发送到骇客指定的远程服务器站点上或邮箱里,会给被感染计算机用户带去不同程度的损失。“QQ大盗”通过在注册表启动项中添加键的方式,来实现开机木马自启动。

九、“灰鸽子”及其变种

病毒名称:Backdoor/Huigezi

病毒中文名:灰鸽子

病毒类型:后门

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

描述:Backdoor/Huigezi “灰鸽子”是后门家族的最新成员之一,采用Delphi语言编写,并经过加壳保护处理。“灰鸽子”运行后,会自我复制到被感染计算机系统的指定目录下,并重新命名保存(文件属性设置为:只读、隐藏、存档)。“灰鸽子”是一个反向连接远程控制后门程序,运行后会与骇客指定远程服务器地址进行TCP/IP网络通讯。中毒后的计算机会变成网络僵尸,骇客可以远程任意控制被感染的计算机,还可以窃取用户计算机里所有的机密信息资料等,会给用户带去不同程度的损失。“灰鸽子”会把自身注册为系统服务,以服务的方式来实现开机自启动运行。“灰鸽子”主安装程序执行完毕后,会自我删除。

“千足虫”及其变种

十、“千足虫”及其变种(又名“磁碟机”)

病毒名称:Win32/Kdcyy

病毒中文名:千足虫(又名“磁碟机”)

病毒类型:蠕虫

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

描述:以Win32/Kdcyy.cp为例,Win32/Kdcyy.cp“千足虫”变种cp是“千足虫”家族的最新成员之一,采用VC++ 6.0编写, 并经过加壳保护处理。“千足虫”变种cp运行后,会在被感染计算机系统的“%SystemRoot%\system32\com\”目录下释放病毒组件文件“lsass.exe”、“smss.exe”、“netcfg.000”和“netcfg.dll”,还会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放病毒组件文件“dnsq.dll”。利用驱动程序来恢复SSDT Hook,使某些安全软件的监控失效。强行关闭大部分杀毒软件和安全工具软件。被感染计算机系统会经常死机或长时间卡住不动。利用“ARP病毒”在局域网中进行自我传播。感染除系统盘外所有盘符下的EXE可执行文件、网页文件、RAR和ZIP压缩包中的文件等(加密感染),感染后的程序变为16位的图标,图标变模糊,类似于马赛克。一旦发现与安全相关的窗口存在,强行将其关闭。在所有盘符下生成“autorun.inf”和病毒体,并且对这些文件进行实时检测保护,利用移动设备进行传播。破坏注册表,致使用户无法进入“安全模式”、无法查看隐藏的系统文件,致使注册表启动项失效。修改注册表,实现开启自动播放的功能。强行删除所有安全软件的关联注册表项,使其无法开启监控。利用进程守护技术,将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联,实现进程守护,一旦病毒文件被删除或被关闭,便马上生成并重新运行。以系统级权限运行,部分进程使用了进程保护技术。利用控制台命令来设置病毒程序文件的访问运行权限。利用了重启移动文件的技术,在重新启动计算机时会把病毒主程序体移动存在到系统[启动]文件夹中,实现开机自启动。“千足虫”变种cp会在被感染计算机系统的后台访问骇客指定的广告站点,进行提升访问量,刷网络排名等操作。另外,“千足虫”变种cp还可以自升级。

2008年计算机病毒整体情况及特征

据江民反病毒中心监测分析,2008年上半年,病毒主要呈现以下特征:

一、木马数量持续猛增,新变种层出不穷

2008年上半年,江民反病毒中心共截获新病毒206439种,另据江民病毒预警中心不完全统计,1至6月全国共有9871681台计算机感染了病毒,其中感染木马病毒电脑7749269台,占病毒感染电脑总数的78.5%,比去年同期增长11个百分点。感染广告程序电脑3849955台,占病毒感染电脑总数的3.9%,感染后门程序电脑4540973台,占病毒感染电脑总数的4.6%,蠕虫病毒2764070台,占病毒感染电脑总数的2.8%,监测发现漏洞攻击代码感染1184601台,占病毒感染电脑总数的1.2%,脚本病毒感888451台,占病毒感染电脑总数的0.9%。


图三

病毒发作区域性特征显著

二、病毒发作区域性特征显著

江民KV病毒预警系统监测数据显示,2008年病毒疫情比较严重的地区排前十位的分别是:北京、山东、江苏、河南、四川、广东、湖南、辽宁、江西、河北。

北京近半年被病毒感染的计算机总数为4774123台,从去年同期的第四位跃居全国之首,占全国被感染计算机总数的51.3%。而历年来,病毒疫情比较严重的山东、江苏和广东地区,在今年上半年的地区疫情排行榜中,退居第二、第三和第六位,上海今年则退出了全国排行的前十位。


图四

三、U盘成病毒传播主要途径

由于U盘本身不会防毒,病毒很容易就会感染U盘,而当U盘插入电脑时还会自动播放,病毒就会即刻被自动运行。加之U盘的广泛应用也为病毒的传播提供了温床,由于众多电脑用户在通过接入U盘进行电脑数据互换时,并没有先扫描病毒后操作运行的习惯,病毒也就瞄准了这一空档藏身其中,“U盘寄生虫”病毒一出现就以高感染率的排名常居病毒榜前三甲。

这类病毒会关闭大部分安全软件(包括杀毒软件)进程,降低系统安全性,同时还会自动连接网络下载其它恶意程序并自动安装运行。利用它们来远程控制用户电脑,窃取用户的网络游戏帐号、银行卡密码等私密信息资料,利用“net stop”命令关闭防火墙、各种杀毒软件的安全服务等,使用户电脑中的安全保护程序瘫痪,给用户的财产和隐私带来严重的威胁。

经济利益驱使

四、经济利益驱使,病毒魔爪伸向网游帐号

2008年上半年,网游盗号类病毒疫情大幅上升,此类病毒占据了病毒排行榜前四,此类病毒无一例外的把目标对准目前流行的网络游戏,盗取目标除了帐号密码外,还包括游戏分值、虚拟装备、游戏币、游戏点卡、仓库密码、角色等级、金钱数量、所在区服、计算机名称等所有的信息资料。包括“征途”“天堂”“魔兽世界”“完美世界Online”“剑侠情缘IIOnline”等几乎所有的流行网游都被病毒盯上,严重威胁广大网络游戏玩家的帐号、密码安全。江民反病毒专家提醒广大电脑用户和网络游戏玩家,务必使用杀毒软件的“系统诊断”功能,对电脑做全面的安全检查,打好系统漏洞补丁,关闭不必要的端口和服务,关闭电脑中的所有共享。网络游戏玩家可以配合使用“密保”软件,将游戏帐号密码输入密保,配合杀毒软件给电脑加上双重保险,减少帐号、密码被盗的风险。

五、病毒综合利用系统漏洞和应用软件漏洞传播

2008年以来,据江民反病毒中心监测,病毒除了利用WINDOWS系统漏洞传播病毒外,还综合利用了应用软件漏洞,多数病毒已经很少使用单一漏洞传播病毒,而是综合利用两个及两个以上的漏洞。研究表明,2008年1月至6月,利用微软MS06-014漏洞、百度搜霸不安全方法漏洞、RealPlayer Import缓冲溢出漏洞,90%以上的挂马网页至少使用它们当中的一个。而5月底被发现的FLASH远程代码执行漏洞,在短短的一周内,就有数万人受到了利用该漏洞的恶意代码攻击。

计算机病毒未来发展趋势

根据江民反病毒中心对上半年所截获的大量病毒样本的分析,综合病毒的破坏能力、传播手段以及传播目标和范围,以及对目前互联网的安全形势和应用环境的判断,江民反病毒中心认为未来病毒发展主要将呈现以下五大特征:

一、综合利用多种编程新技术的病毒将成为主流

从Rootkit技术到映象劫持技术,磁盘过滤驱动到还原系统SSDT HOOK和还原其它内核HOOK技术,病毒为达到目的所采取的手段已经无所不用其极。通过Rootkit技术和映象劫持技术隐藏自身的进程、注册表键值,通过插入进程、线程避免被杀毒软件查杀,通过实时监测对自身进程进行回写,避免被杀毒软件查杀,通过还原系统SSDT HOOK和还原其它内核HOOK技术破坏反病毒软件,其中仅映象劫持技术就包括“进程映像劫持”、“磁盘映像劫持”、“域名映像劫持”、“系统DLL动态连接库映像劫持”等多种方式。目前几乎所有的盗取网络游戏帐号的木马病毒都具备了以上一种以上的技术特征,几乎所有最新的程序应用技术都被病毒一一应用,电脑一旦感染病毒,普通用户根本无能力彻底清除,只能求助专业技术人员。未来的计算机病毒将综合利用以上新技术,使得杀毒软件查杀难度更大。

全面进入驱动级

二、ARP病毒仍将成为局域网最大祸害

ARP病毒已经成为近年来企业、网吧、校园网络等局域网的最大威胁。此类病毒采用ARP局域网挂马攻击技术,利用MAC地址欺骗,传播恶意广告或病毒程序,使得ARP病毒猖獗一时。ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象。更为严重的是,ARP病毒新变种能够把自身伪装成网关,在所有用户请求访问的网页添加恶意代码,导致杀毒软件在用户访问任意网站均发出病毒警报,用户下载任何可执行文件,均被替换为病毒,严重影响到企业网络、网吧、校园网络等局域网的正常运行。

虽然在各大安全厂商的努力下,ARP病毒得到了有效遏制,但由于众多中小企业用户没有足够重视病毒的危害,没有采取相应的防范措施,因此给此类病毒提供了生存空间,预计此类病毒仍将在很长一段时间内成为祸害局域网的主要类型病毒。

三、网游病毒仍将大行其道,逐利成此类病毒唯一目标

受经济利益驱使,利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料的病毒今年上半年十分活跃。2008年上半年截获的新木马病毒中,80%以上都与盗取网络游戏帐号密码有关。病毒作者的牟利目标十分明确,就是盗取互联网上有价值的信息和资料,特别是网络游戏帐号密码、以及虚拟装备等,转卖后获取利益。逐利已成为此类病毒的唯一动机和目标,随着网络游戏的火爆和兴盛,此类病毒仍然有着庞大的市场和生存空间,仍将成为未来病毒的主流。

四、病毒将全面进入驱动级

进入2008以来,大部分主流病毒技术都进入了驱动级,病毒已经不再一味逃避杀毒软件追杀,而是开始与杀毒软件争抢系统驱动的控制权,在争抢系统驱动控制权后,转而控制杀毒软件,使杀毒软件功能失效。病毒通过生成驱动程序,与杀毒软件争抢系统控制权限,通过修改SSDT表等技术实现WINDOWS API HOOK,从而使得杀毒软件监控功能失效。

借机传播新目标

五、奥运或成病毒借机传播新目标

每次重大事件都会成为病毒传播的良机,2008北京奥运会全球瞩目,更可能成为病毒作者瞄准的目标。北京奥运即将在8月8日正式召开,根据以往的经验,奥运期间病毒可能通过以下几种形式传播或发作:

1、通过即时通讯工具群发奥运相关信息,诱使用户点击带毒链接或接受带毒文件。

2、通过发送主题或内容与奥运相关信息的电子邮件,在邮件附件中夹带病毒。

3、在论坛或贴吧发布带毒的奥运比赛现场图片或视频链接,诱使用户点击。

4、攻破传播奥运新闻的相关网站,在相关网页挂马传播病毒。

病毒作者通过以上几种形式传播病毒,主要目标还是瞄准经济利益。一旦用户电脑染毒后,染毒电脑中所有的有价值的信息,包括网络游戏帐号密码、网上银行帐号密码、网上证券交易帐号密码都面临着被盗的危险,因此需要引起用户的足够重视。

计算机病毒表现出的众多新特征以及发展趋势表明,目前我国计算机网络安全形势仍然十分严峻,反病毒业者面临的挑战十分艰巨,需要不断地研发推出更加先进的计算机反病毒技术,才能应对和超越计算机病毒的发展,为电脑和网络用户提供切实的安全保障。作为电脑用户,更应当增强安全意识,多学习和了解基本的计算机和网络安全防范知识和技术,做到最基本的不登陆和点击不明网站和链接,每日升级杀毒软件病毒库和修复操作系统漏洞,尽量使用最新版本的应用软件等安全防范措施。特别是在奥运期间,更需要提高警惕,首先要确保自身电脑不染毒不传毒,为2008北京奥运的顺利召开尽自己的一份力量。

返回原文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑