[注意]2005年度十大病毒排行

云雁

<FONT color=#800080 size=3>1、病毒名称：Backdoor/SdBot.atp.Rootkit <BR>　　中 文 名：“赛波”变种 <BR>　　病毒类型：后门 <BR>　　影响平台：Win 9x/2000/XP/NT/Me/2003 <BR>　　Backdoor/SdBot.atp.Rootkit 是一个利用网络共享弱密码进行传播的后门。病毒运行后，在系统目录下创建病毒主程序副本scvhvst.exe及csrs.exe。修改注册表，以实现后门程序随Windows的启动而启动。开启后门，通过IRC通道对被感染计算机进行远程控制。 <BR>　　扫描网络中的其它计算机，利用密码字典破解网络中其它计算机的共享帐号密码。进入其它计算机后，病毒主程序文件自我复制到其C盘及D盘目录下，并自动运行。 侦听黑客指令，可在被感染计算机上执行的操作有：获取被感染计算机系统信息；自动下载并执行黑客指定程序。 <BR>　　取消本地共享；终止指定进程；搜索被感染用户局域网内的其它计算机；利用被感染计算机发送邮件；盗取用户计算机上的游戏序列号。 <BR><IMG src="http://image2.sina.com.cn/IT/ul/2005/1213/U1121P2DT20051213142027.jpg" border=0><BR>　　2005年度十大病毒排行 <BR><IMG src="http://image2.sina.com.cn/IT/ul/2005/1213/U1121P2DT20051213142112.jpg" border=0><BR>2005年十大病毒比例图<BR>　　2、病毒名称： Backdoor/Huigezi <BR>　　中 文 名：灰鸽子 <BR>　　病毒类型：后门 <BR>　　影响平台：Win 9x/2000/XP/NT/Me/2003 <BR>　　Backdoor/Huigezi “灰鸽子”及其变种是一个可连接指定站点下载其他文件的后门，该后门可自我隐藏。“灰鸽子”运行后，自我复制到Windows目录下，并自行将安装程序删除。修改注册表，将病毒以"Gray_Pigeon_Server"为名注册为服务项实现开机自启。将病毒程序注入到所有的进程中，隐藏自我，防止被查杀。侦听黑客指令，在用户不知情的情况下连接指定站点，盗取用户信息、下载其它特定程序。 <BR>　　3、病毒名称： Exploit.MhtRedir <BR>　　中 文 名：“MHT漏洞利用者” <BR>　　病毒类型：木马 <BR>　　影响平台：Win 9x/2000/XP/NT/Me/2003 <BR>　　Exploit.MhtRedir.dno包含特殊格式的HTML代码，运行后可以下载程序并执行，而且不会有下载提示框出现，利用的是MHTML Exploit的IE安全系统漏洞。当我们访问包含此病毒的网站或HTML邮件时，就会直接下载文件然后自动运行。一般在下载文件时都会出现一个安全提示框，但病毒利用IE漏洞允许绕过此环节直接下载攻击者指定的特定文件。 <BR>　　4、病毒名称：Trojan/QQMsg.Zigui <BR>　　中 文 名：“QQ龟” <BR>　　病毒类型：木马 <BR>　　影响平台：Win 9x/2000/XP/NT/Me/2003 <BR>　　Trojan/QQMsg.Zigui “QQ龟”是一个木马程序，通过向QQ好友群发病毒程序文件进行传播。文件名极具欺骗性，甚至调侃脑 白金广告 “今年过年不收礼，收礼只收白骨精(搞笑版广告)”，继而盗取用户机密信息，并将盗取的信息发送给黑客。 <BR>　　以往的利用QQ传播的木马常以发送带毒网页链接方式进行传播，很多用户已对QQ消息中的网址较为警惕，而此木马是自动发送带毒文件的，如同前一段时间爆发的“MSN性感鸡”病毒，且文件名更具欺骗性。当用户看到是自己的QQ好友传的文件，很有可能会中病毒的圈套。这也是导致该病毒近期感染面积非常大的原因之一。 <BR>　　5、病毒名称：I-Worm/Mytob <BR>　　中 文 名：“麦涛” <BR>　　病毒类型：网络蠕虫 <BR>　　影响平台：Win 9x/2000/XP/NT/Me/2003 <BR>　　I-Worm/Mytob “麦涛”是利用自带SMTP引擎群发带毒邮件的网络蠕虫，并利用多种系统漏洞传播，并试图利用msn向外发送病毒程序文件。该病毒自2月份以来，出现了约200个变种，还曾隐藏在高波变种中进行传播。被感染计算机会打开后门端口，可以被黑客完全控制。 <BR>　　6、病毒名称：I-Worm/DropBot <BR>　　中文名：“MSN性感鸡” <BR>　　病毒类型：蠕虫 <BR>　　影响平台：Windows NT/2000/XP <BR>　　MSN性感鸡病毒I-Worm/MSN.DropBot是通过MSN传播的网络蠕虫，发作后显示一张烧鸡图片，可以释放出“罗伯特”后门病毒，“罗伯特”病毒可以使用户系统可被黑客完全控制，成为“僵尸电脑”，并能够通过多种系统漏洞和弱口令传播，感染能力极强。其后续变种发作时，会显示美女或牙刷等图片。 <BR>　　7、病毒名称：Backdoor/PcClient <BR>　　中文名：“友好客户” <BR>　　病毒类型：后门 <BR>　　影响平台：Win 9x/2000/XP/NT/Me <BR>　　Backdoor/PcClient “友好客户”是一个后门，开启被感染计算机的后门，记录键击，盗取用户机密信息。“友好客户”运行后，在系统目录下和Windows目录下创建病毒文件。修改注册表，实现开机自启。将系统目录下的.d1l病毒文件注入到iexplore.exe的进程中，打开.sys病毒文件，隐藏自我，防止被查杀。开启TCP 6868和7777端口，侦听黑客指令，记录键击，盗取用户计算机系统信息，保存在Windows目录下。另外，“友好客户”还可以上传或下载特定文件。 <BR>　　8、病毒名称：I-Worm/Zobot <BR>　　中文名：“极速波” <BR>　　病毒类型： 网络蠕虫 <BR>　　影响平台：Win 2000/XP/2003 <BR>　　极速波是一个利用微软“即插即用服务代码执行漏洞”(MS05-039)的蠕虫病毒。该病毒利用最新漏洞传播，并且可以通过IRC接受黑客命令，致使被感染计算机被黑客完全控制。“极速波”运行后，在系统目录下创建病毒文件botzor.exe。修改注册表，实现开机自启。通过TCP 8080端口连接IRC服务器，侦听黑客指令，完全控制被感染的用户计算机。在TCP 33333端口开启FTP服务，提供病毒文件下载功能。修改hosts文件，屏蔽大量国外反病毒和安全厂商的网址。利用微软“即插即用服务远程代码执行漏洞”(MS05-039)进行传播。如果漏洞利用代码成功运行，将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行，未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。 <BR>　　9、病毒名称：I-Worm/Sober <BR>　　中 文 名：“铁锁” <BR>　　病毒类型： 网络蠕虫 <BR>　　影响平台：Win 9X/ME/NT/2000/XP/2003 <BR>　　I-Worm/Sober.s“铁锁”是一个网络蠕虫，从被感染的用户计算机上搜索有效的邮箱地址，群发带毒邮件。邮件附件是一个.exe文件，由VB编写，经UPX压缩。“铁锁”运行后，自我复制到Windows目录下，并创建大量病毒文件和空文件。屏幕显示虚假错误信息。修改注册表，实现开机自启。从被感染的用户计算机上搜索有效的邮箱地址，利用SMTP引擎群发带毒邮件。另外，“铁锁”还终止一些与安全相关的进程。 <BR>　　10、病毒名称：Trojan/PSW.QQRobber <BR>　　中 文 名：“QQ大盗” <BR>　　病毒类型：木马 <BR>　　影响平台：Win 9x/2000/XP/NT/Me/2003 <BR>　　Trojan/PSW.QQpass.ad“QQ大盗”是一个木马，文件大小12K。“QQ大盗”运行后，从指定站点自动下载并运行多个木马程序。被下载的木马常用来盗取QQ号和密码。 <BR>　　2005年度中国大陆地区计算机病毒疫情报告 <BR>　　2005年，计算机病毒与去年相比，出现了一些明显的变化和特征，具体包含了以下七个方面。 <BR>　　木马、后门程序大行其道，成为绝对主流 <BR>　　从2005年1月1日至2005年12月10日，江民反病毒中心共截获病毒37947个，其中，截获木马17148种、后门程序12019种、蠕虫955种、脚本病毒1108种、其余类病毒6717种。从这些数据可以看出，2005年出现的病毒中木马和后门病毒最为活跃，并且十大病毒排行中木马已经超越蠕虫成为新霸主。(如图) <BR><IMG src="http://image2.sina.com.cn/IT/ul/2005/1213/U1121P2DT20051213142219.jpg" border=0><BR>2005年大陆地区病毒种类分析<BR>　　即时通讯工具及系统漏洞成为病毒传播主要渠道 <BR>　　通过QQ、MSN病毒传播的IM病毒活动仍然较为频繁，特别是在节日期间。例如9月8日，江民反病毒中心监测到，新QQ病毒“Trojan/QQMsg.Qing”借中秋佳节大肆发飙，向在线好友疯狂发送 “今天中秋不吃月饼的理由(爆笑)”等即时信息，并附带一恶意网址。用户不慎点击该网页后，病毒即利用4种IE漏洞传播自身，同时网页内还暗藏另一木马，黑客利用此病毒可远程控制染毒机器，危害重大。 <BR>　　该病毒被江民反病毒研究中心命名为“QQ情”。“QQ情”病毒利用人们的好奇心理，发送与中秋节有关的信息，让人误以为是好友发来的关于中秋节的笑话。一旦你点击这个网址，那么病毒立即通过微软浏览器的四个漏洞，悄无声息地潜伏到你的机器中。 <BR>　　此外，江民反病毒研究中心还监测到，2005年，很多网站被黑客攻破，在网站页面上挂上木马病毒，只要用户的浏览器存在某些特定的漏洞，一旦点击含有病毒链接的网页，病毒就会在后台自动下载到用户电脑中。例如，2005年9月22日，江民公司反病毒中心监测到，某门户地方站上某页面种植了病毒。该页面显示赠送手机、Q币等虚假信息，诱使用户输入QQ号和密码。后台悄悄下载3种病毒程序：QQ欺骗木马(Trojan/QQMsg.Shuangq)、QQ大盗(Trojan/PSW.QQRobber.16.be)和灰鸽子后门(Backdoor/Huigezi.adp)。2005年10月14日，江民公司反病毒中心监测到，某知名跨国公司网站首页包含恶意代码，如果用户的IE浏览器存在HHCTRL漏洞，访问该页面即会感染PcShare后门病毒。一些地方热线、知名媒体网站、甚至流量很大的网址导航网站以及一些IT专业网站，都发生过被种植木马的事件。 <BR>　　病毒变种速度快，传播范围小，更加隐蔽，目的性更强 <BR>　　虽然今年没有特别大规模的病毒爆发，但病毒的总体数量却是急剧上升。“病毒变种速度快，传播范围小，更加隐蔽，目的性更强”成了今年的主旋律。据江民反病毒研究中心监测数据显示，今年众多木马及后门程序变种特别频繁，以“赛波“以及”灰鸽子“为例，一段时期最高时每天变种多达一百多个。病毒变种的原因主要是为了逃避反病毒软件的查杀，而之所以能够实现每天变种一百多次的频率，主要是此类病毒具有可以通过网络自动升级自身的机制，这也是目前很多木马逃避杀毒软件查杀的主要手段。由于今年的病毒主要是木马及后门程序，此类病毒在平时可以很隐蔽在藏在电脑中，甚至不会影响用户的电脑运行速度，也不会对数据造成任何破坏，因此普通用户可能毫无觉察。木马传播者的目的性非常明确，只有在他确认中毒者机器里存在他认为值得盗取的东西时才开始进行远程操控。例如，某游戏玩家电脑中感染了一个木马病毒，但由于该玩家的级别很低，病毒传播者便一直潜伏，直到该玩家花费了大量的时间和金钱后，达到了一定的级别时，木马传播者就开始把该玩家账号盗走，将玩家所有的装备和虚拟财备一网打尽。 <BR>　　黑客攻击动机从逐名转向逐利 <BR>　　与初期的黑客攻击主要是为了炫耀自己的技术不同，今年更多的黑客通过互联网种植木马，直接目的就是为了获取不正当利益，此特征较2004年相比更加明显。多数黑客已不再选用恶作剧式的攻击手法，而是实施有组织的破坏性的计划，利用互联网谋取不义之财。由于各种游戏虚拟装备、游戏帐号和密码都可以在现实市场中转换为现金，“密码7005”、 “武汉男生2005”等众多病毒目标都直接指向了网游帐号。3月23日，江民反病毒中心还监测到众多网站公开售卖木马病毒生成器，甚至页面上还直接标注着“游戏密码，轻松盗取”的浮动图标。利用这些木马病毒生成器，不会编写病毒程序的人也可以轻松制造出木马病毒。5月30日，新华社报道以色列警方破获了一起历史上最大商业间谍案，数家著名大公司的负责人和多名私人侦探被逮捕。被捕的私人侦探就是利用木马病毒植入竞争对手的电脑中，从而窃取对方商业机密的。由此可见，黑客通过传播木马窃密的目标已经十分明确，财富和金钱已成为黑客传播木马的赤裸裸的目标。 <BR>　　病毒利用系统漏洞的时间越来越短 <BR>　　每次微软的系统漏洞被发现后，通常在一两周之内，针对该漏洞的恶意代码就会出现在网上，而从漏洞被发现到恶意代码出现，中间的时差开始变得越来越短。今年8月15日，离微软发布漏洞公告不过一周时间，江民反病毒中心截获一个利用微软"即插即用服务代码执行漏洞"(MS05-039)的蠕虫“极速波”病毒(I-Worm/Zotob)。该病毒利用最新漏洞传播，并且可以通过IRC接受黑客命令，使被感染计算机被黑客完全控制。“极速波”创造了病毒利用微软漏洞时间之最，而这正是未来病毒的一种发展方向。 <BR>　　僵尸网络数量越来越多，规模越来越大 <BR>　　自去年全球计算机反病毒业界开始关注僵尸网络问题后，05年，我国相关部门开始在国内监测到数量越来越多、规模越来越大的僵尸网络。据我国国家计算机网络应急技术处理协调中心发布的报告显示，自今年6月份以来，僵尸网络数量呈上升趋势。其中，从6月3日至9月19日，发现较大规模僵尸网络59个，平均每天发现3万个僵尸网络客户端，特别是在今年8月19日到9月19日期间，他们监控发现了一个客户端规模超过15万的大型僵尸网络。江民反病毒研究中心今年截获的众多的Bot类蠕虫病毒。此类病毒一般都是黑客或者黑客组织恶意传播的，目的就是构建属于自己的僵尸网络。据反病毒专家分析，“僵尸网络”具有很强的隐蔽性，在不被利用时很难被人发现，通常情况下，此类病毒不会占用系统资源，也不会破坏电脑数据，普通用户很难发现自己的电脑成为“网络僵尸”。 <BR>　　Rootkit技术成为病毒发展的一个趋势 <BR>　　2005年，江民反病毒研究中心监测发现，一项名为Rootkit的新技术已经开始被病毒利用。Rootkit指的是恶意代码作者用来隐藏他们的代码不被发现的工具，它通过监听系统的功能、用合法的数值取代返回的数据。Rootkit 类病毒通过隐藏自身进程(有时甚至连添加的注册表键值也隐藏起来)，以增加电脑用户的识别难度并逃避杀毒软件的查杀。从众多电脑用户发送的感染此类病毒的求助信件以及电话来看，Rootkit类病毒已经成为困绕目前电脑用户的新难题。目前大部分的Bot类蠕虫病毒大部分采用了Rootkit技术。位居十大病毒之二的“灰鸽子”变种病毒就采用了Rookit技术，病毒运行后，会自我复制到Windows目录下，并自行将安装程序删除。修改注册表，将病毒文件注册为服务项实现开机自启。病毒程序还会注入所有的进程中，隐藏自我，防止被杀毒软件查杀。自动开启IE浏览器，以便与外界进行通信，侦听黑客指令，在用户不知情的情况下连接黑客指定站点，盗取用户信息、下载其它特定程序。江民反病毒研究中心监测发现，灰鸽子变种十分频繁，一段时期内每天产生数十个变种。使用Rootkit等隐藏技术的病毒已经成为现阶段计算机用户面临的主要病毒问题之一。 <BR>　　此外，江民反病毒研究中心还监测到，2005年手机病毒数量越来越多，而随着智能手机的普及和发展，未来手机将会成为反病毒的又一个重要战场。今年病毒另一个主要特征就是区域性特别明显，与往年蠕虫病毒主要来自国外不同，今年的木马及后门病毒80%以上都出自国人之手，网上大量的“病毒和木马生产机”的出现使得编写病毒变得简单，我国反病毒事业面临的形势不容乐观。 </FONT><BR><BR>