就在央视揭开“肉鸡”内幕的同时,黑客组织的病毒生产线并未停转,“死牛下载器”、“猫癣”等知名病毒依旧隔三差五的就出现新变种,单日感染量动辄高达数十万。
十大病毒排行榜
十大病毒排行榜
此排行榜是根据金山毒霸云安全系统的监测统计,经过特殊计算后得出的参考数据,反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区,榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本,一些总感染量很高的病毒,如猫癣,因为变种较多,分摊到各变种上的感染量反而小,因此未列入此榜。至于脚本病毒,由于其特殊的攻击方式,我们将单独制作排行。
|
排名 |
病毒名 |
金山毒霸中文病毒名 |
感染量(单位:台次) |
|
1 |
win32.vbt.hl.84701 |
无公害感染源 |
2279580 |
|
2 |
win32.troj.small.ag.7680 |
迷你下载器AG |
1652350 |
|
3 |
win32.troj.sysjunkt.hh |
NS窥视器 |
1559380 |
|
4 |
win32.troj.encodeie.ao.524288 |
传奇盗号下载器AO |
1496680 |
|
5 |
win32.troj.onlinegamet.fd.295241 |
网游盗号木马295241 |
1446300 |
|
6 |
win32.troj.onlinegames.de.36864 |
cfg寻仙盗号器变种 |
1359340 |
|
7 |
win32.troj.dropper.jg.210338 |
盗号木马下载器JG |
1349380 |
|
8 |
win32.binder.agent.ar.110592 |
地下城盗贼 |
1311540 |
|
9 |
win32.troj.sysjunk2.ak.32768 |
木马驱动器32768 |
1217900 |
|
10 |
win32.troj.qqpswt.bs.116858 |
QQ小偷 |
1196430 |
1. win32.vbt.hl.84701(无公害感染源)
展开描述:感染文件,帮助木马传播
卡巴命名:Virus.Win32.VB.bu
瑞星命名:Trojan.PSW.SBoy.an
N0D32命名:virus.Win32.Sality.NAC
麦咖啡命名:PWS-LegMir trojan
“无公害感染源”(win32.vbt.hl.84701)在2月时就已经是感染量排行很高的病毒。在3月份,它的感染量更是实现了“跨越式”发展,达到200万台次。
该病毒本身没有任何破坏能力,它只是单纯的感染用户电脑中的EXE文件,也不会干扰被感染文件的正常运行。但较以前的版本而言,代码中增加了一些用于与其它模块相连接的接口。看来病毒作者已经完成了测试,开始将该病毒投入实战。
尽管在感染文件后,“无公害感染源”依然不会直接破坏系统,却能与别的木马模块相配合了。至于它们“合体”后会有哪些危害,则要看木马执行模块的功能如何安排,不同的变种可能具有不同的功能。
2. win32.troj.small.ag.7680(迷你下载器AG)
展开描述:下载木马 存放于临时目录 占用系统资源
卡巴命名:Trojan-Downloader.Win32.Agent.bhyn
瑞星命名:Trojan.DL.Win32.Mnless.cbrn
N0D32命名:Trojan.Win32.TrojanDownloader.Agent.OQW
这个木马下载器早在2月份就已经诞生了,不过当时感染量并不大,一直徘徊在1万以下。从3月4号起,它开始爆发,每天的感染量一路飙升,最高时达到7万余台次。
它是以一个dll文件的形式存在,行后会创建一个线程,解密自带的下载地址,从下载地址中下载另一些下载器,再利用这些下载器把一堆各式各样的盗号木马引到系统的临时目录下运行,伺机搜刮电脑中的各类网游帐号。
更特别的是,迷你下载器AG所下载的部分盗号木马也具有下载器功能,这就会造成进入用户电脑的恶意程序越来越多,随着它们陆续运行,系统资源会被逐渐蚕食,电脑变得越来越卡。
3. win32.troj.sysjunkt.hh(NS窥视器)
展开描述:加花加密,协助远程木马对抗杀软
卡巴命名:Trojan.Win32.BHO.kqd
瑞星命名:RootKit.Win32.Undef.bksn
N0D32命名:Win32.Adware.Cinmus,Win32.Adware.Cinmus
麦咖啡命名:DNSChanger.gen trojan
“NS窥视器”(win32.troj.sysjunkt.hh)的3月份的总感染量为156万台次,与2月份相比略有增长。此病毒为一款远程木马的组成部分。它的真身是个经过加花的木马驱动。
一旦进入用户电脑,它就修改注册表服务项,将自己从属的木马冒充成系统进程,或采用随机命名的进程名,实现开机自启动。它在后台悄悄调用IE浏览器,连接到病毒作者指定的黑客服务器。
此病毒在3月份时,所协助的病毒除了远程后门外,还增加了一些广告木马。
4. win32.troj.encodeie.ao.524288 (传奇盗号下载器AO)
展开描述:盗窃《传奇》帐号,非法转移虚拟财产
卡巴命名:Trojan.Win32.BHO.nng
“传奇盗号下载器AO”(win32.troj.encodeie.ao.524288)曾一度以高达10万台次的感染量位居非脚本木马单日感染量排行的榜首。金山毒霸反病毒工程师对其分析后发现,它可以下载许多别的木马到用户电脑中运行,但其自身也具有盗号功能,根据变种的不同,可以利用内存注入、键盘记录、消息截获等多种手段盗取的就是《传奇》的帐号。
“传奇盗号下载器AO”无法自动传播,因此可以断定,它必然也是借助那些大肆挂马的脚本下载器进入用户电脑。这样一来,打齐系统补丁也就成了免受“传奇盗号下载器AO”骚扰的最简单办法。
网友评论