《2006年上半年十大病毒排行榜》 [1. 灰鴿子 ][2. 傳奇竊賊 ][3. 高波/瑞波 ][4. CHM木馬 ][5. WMF漏洞利用者 ] [6. QQ大盜 ][7. 維京 ][8. 傳華木馬 ][9. 工行釣魚木馬 ][10. 敲詐者 ]
7月10日,江民科技發布了2006年上半年十大病毒排行及病毒疫情報告。
十大病毒排行中,“灰鴿子”木馬及其變種以其廣泛的傳播性和極高的危害特征名列十大病毒之首,成為2006年上半年名副其實的“毒王”。以竊取“傳奇”等網絡游戲賬號為目的“傳奇木馬”名列第二,而以制造“僵屍網絡”的BOT類病毒“高波”和“瑞波”並列第三名。此外,攻擊微軟IE浏覽器MHTML跨安全區腳本執行漏洞(MS03-014)的惡意網頁腳本CHM木馬以及攻擊微軟2006年首個0day漏洞(MS06-001)WMF木馬名列十大病毒第四、第五位,通過QQ傳播的盜竊“傳奇”號碼的“QQ大盜”病毒名列第六,同時具有文件型病毒、蠕蟲病毒、病毒下載器等類病毒的特點的“維京”病毒名列第七,以盜取QQ或網絡游戲的帳號密碼為目的“傳華木馬”名列十大病毒之八,竊取工行網上銀行的“工行釣魚木馬”以及國內首例敲詐用戶錢財的“敲詐者”病毒分別名列十大病毒第九、第十位。
江民2006年上半年病毒疫情報告指出,2006年上半年未發生重大的計算機病毒疫情,病毒仍然沿襲了2005年的總體特征,以盜號竊秘的木馬病毒為主。2006年上半年病毒呈現的新特征還包括,僵屍網絡病毒仍有發作,但較去年有所減弱,新發現的僵屍網絡病毒傳染性更強,綜合利用了微軟操作系統的多種漏洞。利用微軟0day漏洞的WMF惡意代碼1、2月份在網上傳播較為廣泛,多家網站被種植了該惡意代碼。此外,通過QQ進行傳播的Adware類病毒在上半年發作的病毒總數中占有較大比例,這跟QQ用戶群廣泛以及應用十分頻繁有關,用戶的安全意識薄弱,隨意點擊不明鏈接也是此類廣告件頻發的重要原因。2006年上半年,江民反病毒中心監測到國內首例通過隱藏電腦用戶數據進行勒索錢財的敲詐病毒,雖然此類病毒在國外早有報道,但在國內尚屬首次。
據江民科技反病毒中心統計,從2006年1月1日到2006年6月28日,反病毒中心共截獲新病毒33358種,江民KV病毒預警中心顯示,1至6月全國共有7322453台計算機感染了病毒,監測發現新老病毒發作次數總計178931441次(包括同台電腦同一病毒感染多種文件數)。
根據江民全球病毒監測網(國內部分)、江民病毒預警中心、客戶服務中心等多個部門聯合監測統計,綜合病毒的破壞能力以及傳播范圍,江民反病毒中心公布了2006上半年度十大病毒排行:
點擊查看大圖
06年上半年十大病毒排行榜狀元: “灰鴿子”
病毒名稱:Backdoor/Huigezi 病毒中文名:“灰鴿子” 病毒類型:後門 危險級別:★ 影響平台: Win 9X/ME/NT/2000/XP
描述:Backdoor/Huigezi.cm“灰鴿子”變種cm是一個未經授權遠程訪問用戶計算機的後門。“灰鴿子”變種cm運行後,自我復制到系統目錄下。修改注冊表,實現開機自啟。偵聽黑客指令,記錄鍵擊,盜取用戶機密信息,例如用戶撥號上網口令,URL密碼等。利用掛鉤API函數隱藏自我,防止被查殺。另外,“灰鴿子”變種cm可下載並執行特定文件,發送用戶機密信息給黑客等。
06年上半年十大病毒排行榜榜眼: “傳奇竊賊”
病毒名稱:Trojan/PSW.LMir 病毒中文名:“傳奇竊賊” 病毒類型:木馬 危險級別:★ 影響平台: Win 9x/2000/XP/NT/Me
描述:傳奇竊賊是專門竊取網絡游戲“傳奇2”登錄帳號密碼的木馬程序。該木馬運行後,主程序文件自己復制到系統目錄下。修改注冊表,實現開機自啟。終止某些防火牆、殺毒軟件進程。病毒進程被終止後,會自動重啟。竊取“傳奇2”帳號密碼,並將盜取的信息發送給黑客。
06年上半年十大病毒排行榜探花: “高波”
病毒名稱:Backdoor/Agobot 病毒中文名:“高波” 病毒類型:後門 危險級別:★★ 影響平台:Win 2000/XP/NT
描述: Backdoor/Agobot.aky “高波變種”aky是一個經UPX壓縮,主要利用網絡弱密碼共享進行傳播的後門程序。該後門程序還可利用微軟DCOM RPC漏洞提升權限,允許黑客利用IRC通道遠程進入用戶計算機。該程序運行後,程序文件自我復制到系統目錄下,並修改注冊表,以實現程序的開機自啟。開啟黑客指定的TCP端口。連接黑客指定的IRC通道,偵聽黑客指令。黑客通過該後門在用戶計算機上可進行的操作有:安裝並升級病毒程序;下載並運行指定文件;盜取用戶系統信息並發送給作者等。利用程序自帶的密碼字典破解網絡共享弱密碼。盜取黑客所指定的多種游戲的序列號,終止某些防火牆及殺毒軟件的進程。該程序可執行DoS攻擊。
並列探花:“瑞波”
病毒名稱:Backdoor/RBot.auv 病毒中文名:“瑞波” 病毒類型:後門 危險級別:★★ 影響平台: Windows 2000/XP/2003
描述:該變種病毒經過多層壓縮加密殼處理,可以利用多種系統漏洞進行傳播,感染能力很強。中毒計算機將被黑客完全控制,成為"僵屍電腦"。由於此病毒會掃描感染目標,因此可以造成局域網擁堵,該網友反映的情況很有可能是中了“瑞波”病毒。
06年上半年十大病毒排行榜第四名: “CHM木馬”
病毒名稱:Exploit.MhtRedir 病毒中文名:“CHM木馬” 病毒類型:木馬、腳本 危險級別:★★ 影響平台:Windows 98/ME/NT/2000/XP/2003
描述:利用IE浏覽器MHTML跨安全區腳本執行漏洞(MS03-014)的惡意網頁腳本,自從2003年以來,一直是國內最為流行的種植網頁木馬的惡意代碼類型,2005年下半年,泛濫趨勢稍有減弱,2006年上半年的感染數量仍然很大,沒有短期內消亡的跡象。
06年上半年十大病毒排行榜第五名: “WMF漏洞利用者”
病毒名稱:Exploit.MsWMF 病毒中文名:“WMF漏洞利用者” 病毒類型:木馬 危險級別:★★ 影響平台:Win 9X/ME/NT/2000/XP/2003
描述: Exploit.MsWMF.a“WMF漏洞利用者”變種a是一個利用微軟MS06-001漏洞進行傳播的木馬。如果用戶使用未打補丁的Windows系統,在上網浏覽、本地打開或預覽惡意WMF文件時,自動下載網絡上的其它病毒文件,偵聽黑客指令,對用戶計算機進行各種攻擊。
06年上半年十大病毒排行榜第六名:“QQ大盜”
病毒名稱:Trojan/QQPass 病毒中文名:“QQ大盜” 病毒類型:木馬 危險級別:★ 影響平台:Win9X/2000/XP/NT/Me
描述: Trojan/QQPass.ak是用Delphi編寫並經UPX壓縮的木馬,用來竊取游戲"傳奇"信息。
傳播過程及特征:
1.創建下列文件:
%System%\winsocks.dll, 91136字節
%Windir%\intren0t.exe, 91136字節
2.修改注冊表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Intren0t" = %Windir%\intren0t.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Intren0t" = %Windir%\intren0t.exe
這樣,在Windows啟動時,病毒就可以自動執行。
注:%Windir%為變量,一般為C:\Windows 或 C:\Winnt;
%System%為變量,一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
06年上半年十大病毒排行榜第七名:維京
病毒名稱:Worm/Viking 病毒中文名:維京 病毒類型:蠕蟲、木馬 危險級別:★★★ 影響平台:Windows 98/ME/NT/2000/XP/2003
描述:該病毒同時具有文件型病毒、蠕蟲病毒、病毒下載器等類病毒的特點,進入用戶的電腦之後,它會從網上瘋狂下載多個木馬、QQ尾巴等安裝在中毒電腦中,竊取用戶的網絡游戲密碼,嚴重時造成系統完全崩潰。該病毒同時具有文件型病毒、蠕蟲病毒、病毒下載器等類病毒的特點,進入用戶的電腦之後,它會從網上瘋狂下載多個木馬、QQ尾巴等安裝在中毒電腦中,竊取用戶的網絡游戲密碼,嚴重時造成系統完全崩潰。
06年上半年十大病毒排行榜第八名:“傳華木馬”
病毒名稱:Trojan/PSW.Chuanhua 病毒中文名:“傳華木馬” 病毒類型:木馬 危險級別:★★ 影響平台:Windows 98/ME/NT/2000/XP/2003
描述:出自同一個木馬制作組織“傳華”的若干木馬變種。“傳華木馬”主要以盜取QQ或網絡游戲的帳號密碼為目的,變種極多,感染了大量用戶。
06年上半年十大病毒排行榜第九名:“工行釣魚木馬”
病毒名稱:TrojanSpy.Banker.yy 病毒中文名:“工行釣魚木馬” 病毒類型:木馬 危險級別:★★★ 影響平台:Windows 98/ME/NT/2000/XP/2003
描述:這是一個十分狡猾的盜取網上銀行密碼的木馬病毒。病毒運行後,在系統目錄下生成svchost.exe文件,然後修改注冊表啟動項以使病毒文件隨操作系統同時運行。
病毒運行後,會監視微軟IE浏覽器正在訪問的網頁,如果發現用戶在工行網上銀行個人銀行登錄頁面上輸入了帳號、密碼,並進行了提交,就會彈出偽造的IE窗,內容如下: “為了給您提供更加優良的電子銀行服務,6月25日我行對電子銀行系統進行了升級。請您務必修改以上信息!”
病毒以此誘騙用戶重新輸入密碼,並將竊取到的密碼通過郵件發送到一個指定的163信箱。該病毒同時還會下載灰鴿子後門病毒,感染灰鴿子的用戶系統將被黑客遠程完全控制。
06年上半年十大病毒排行榜第十名:“敲詐者”
病毒名稱:Trojan/Agent.bq 病毒中文名:“敲詐者” 病毒類型:木馬 危險級別:★★★ 影響平台:Win 9X/ME/NT/2000/XP/2003
描述: 毒在本地