此排行榜是根据金山毒霸云安全系统的监测统计,经过特殊计算后得出的参考数据,反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区,榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本,一些总感染量很高的病毒,因为变种较多,分摊到各变种上的感染量反而小,因此未列入此榜。
1. Win32.trojdownloader.agent.151552(小广告下载器)
展开描述:弹广告并且下载其它木马的流氓插件
症状:IE浏览器自动弹出窗口,陌生进程增多
卡巴命名: Trojan-Downloader.Win32.Agent.cqlm、Trojan-Dropper.Win32.StartPage.aw
瑞星命名:Trojan.Win32.StartPage.nbkn
NOD32命名:Trojan.Win32.StartPage.NMW
该毒自上个月末开始爆发,为一款能修改IE浏览器默认主页的流氓程序,它同时也具备下载器的功能,会下载一些别的恶意程序到电脑中运行,经过一个月的蔓延,已经成为10月份感染量最高的病毒。
它在进入系统后,会将IE浏览器的默认主页修改成病毒作者指定的地址,以便在用户每次启动IE时弹出广告。但由于它加入了下载器功能,会下载更多的其它木马,因而带来的潜在影响就更大。病毒作者可以通过修改下载列表,把任何一种病毒木马传输到用户电脑中。
2. Win32.troj.geralt.kb.190962(病毒寄生播放器)
展开描述:捆绑视频播放器、下载器,弹广告并下载木马
症状:弹出广告窗口,陌生进程迅速增多
卡巴命名:Trojan.Win32.Vilsel.gyj、Trojan.Win32.Vilsel.gpc
瑞星命名: Trojan.Win32.KillAV.caqn、Worm.Win32.Autorun.stan
NOD32命名: Trojan.Win32.AntiAV.NCL,Trojan.Win32.AntiAV.NCL
这是一款依靠捆绑传播的木马程序,它会执行弹广告、下载木马等行为。该毒主要借助捆绑于流行的播放器来传播,比如最近比较受欢迎的Qvod。随着各种在线播放器的流行,木马团伙也找到了新的传播渠道:他们将木马捆绑在某些比较受欢迎的播放器或视频下载器中,然后设法欺骗用户下载经过他们改造的播放器,使得用户中招。
该毒的大部分样本被发现捆绑于非官方下载页面的Qvod播放器以及某些视频下载器中。金山毒霸安全专家分析,木马团伙是在一些论坛、社区或不良视频网站投放下载链接,然后以热播影片引诱用户下载。
一旦用户安装这些被动过手脚的播放器或下载器,木马就会立即运行起来,执行木马团伙设定的指令,主要是弹出广告窗口和下载其它木马。
3. Win32.troj.gameolt.zg.61529(网游盗号木马ZG)
展开描述: 盗窃网游帐号,洗劫虚拟财产
症状:游戏密码错误,装备丢失,网游帐号被盗
卡巴命名:Trojan-GameThief.Win32.Magania.bjlw、HEUR.Trojan.Win32.Generic
瑞星命名:Trojan.PSW.Win32.GameOLx.cpn
NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD
McAfee命名: PWS-OnlineGames.ek trojan
该毒是一个针对网络游戏的盗号木马程序,此毒在7月份时就已经开始流行。它能盗窃多款流行网游的账号密码信息。
大量的0day漏洞为各类脚本下载器的挂马传播提供了有利条件,而脚本下载器在进入系统后,就会下载不少传统的木马。Win32.troj.gameolt.zg.61529正是在这样的情况下,实现感染量的大幅增长的。而如果用户发现自己电脑中不断出现此毒,那么表明系统中已经潜入了某款未知下载器,这种情况,可下载运行金山安全实验室的“金山急救箱”,对未知下载器灭活即可。
4. Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者)
展开描述: 模仿文件夹图标,欺骗用户点击
症状:U盘文件夹图标被替换,杀毒后文件夹丢失
卡巴命名: P2P-Worm.Win32.Agent.ta、Trojan-Dropper.Win32.Flystud.ko
瑞星命名: Trojan.Win32.ECode.een、orm.Win32.Agent.aaqn
NOD32命名: virus.Win32.Small.L、Worm.Win32.AutoRun.FlyStudio.GS
McAfee命名: W32.Madangel.b virus、W32.Fujacks.aw virus
Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者)是一个U盘病毒,它将用户系统中的文件夹图标全部变为自己的EXE文件,用户必须点击病毒文件才可进入文件夹。这使得病毒得以绕过系统或安全软件的U盘监控功能。如果该变种所携带的执行模块是广告插件,那么就会尽可能多的弹出广告网页。
该毒给很多用户带来的最大麻烦是它会将用户的文件隐藏起来,即使用户借助杀软将其删除,也难以恢复。这使得一些用户误以为是杀软将自己的文件夹删除。
使用金山安全实验室的急救箱,可完美解决该毒带来的这一问题。下载地址 http://labs.duba.net/jjx.shtml
5. Win32.troj.fakefoldert.yo.1406378(文件夹模仿者变种)
展开描述: 模仿文件夹图标,欺骗用户点击
症状:U盘文件夹图标被替换,杀毒后文件夹丢失
卡巴命名: Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af
瑞星命名:Trojan.Win32.ECode.een、Trojan.Win32.ECode.een
NOD32命名:Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ
McAfee命名: W32.Autorun.worm.dq virus、W32.Autorun.worm.ev virus
此毒为Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者)的一款变种,感染该毒后的所有症状完全一致。
6. Win32.induc.a.820224 (Delphi梦魇)
展开描述:感染Delphi环境,从源头污染程序
症状:无任何症状
卡巴命名:Virus.Win32.Induc.a
NOD32命名:virus.Win32.Induc.A
这是一个针对Delphi程序员的病毒“Delphi梦魇”,它专门感染Delphi程序员的电脑,一旦成功,程序员今后写出的任何程序,都将带有该毒。
当随着被感染文件进入电脑系统,“Delphi梦魇”就开始检验系统中是否有Delphi环境。它通过循环检测注册表键值的方法查找dephi 的安装目录,如果找到dephi,就将恶意代码前排插入SysConst.pas文件,这个文件编译的时候,会生成SysConst.dcu,而这个文件会被添加到每个新的dephi工程中。于是,Delphi程序员们所编写的程序就全部带毒了。
该毒不具备破坏能行为,但由于其在技术和攻击方式上的突破,已经成为一些不法黑客借鉴和改造的对象,基于该毒改写的下载器已经在技术上实现,一旦被广泛利用,后果难以想像。而且目前国内除金山毒霸外,尚无别的杀软厂家具备查杀该毒的能力,这更加重了国内网络的危险。
7. Win32.troj.gameolt.ct.73816 (在线盗号器ZT)
展开描述:盗窃网游账号
症状:找不到系统COMRes.dll文件
卡巴命名:Trojan-Dropper.Win32.Agent.ayqa、HEUR.Trojan.Win32.Generic
瑞星命名:Trojan.PSW.Win32.DNFOnLine.bln
NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD
McAfee命名:PWS-OnlineGames.ek trojan、Generic Dropper.eb trojan
10月份,关于“C:WINDOWSsystem32COMRes.dll”的询问量有所增加。很多用户发现自己电脑里的这个文件丢失了,造成系统异常,这其实是病毒感染造成的。某些下载器和盗号木马在运行过程中感染了这一文件,对其造成严重破坏,无法正常修复。而Win32.troj.gameolt.ct.73816 (在线盗号器ZT)就是一个这种类型的木马。
此毒近来频繁出现在网游玩家的电脑中,它一旦运行就会搜索多款流行网游的进程注入,执行盗窃账号的任务。金山毒霸反病毒工程师对该毒进行分析后,发现它主要是由一些木马下载器下载到用户电脑中的,而这些下载器又多半与一些游戏外挂插件捆绑。
因此,避免遭遇该毒的最好办法就是不要下载那些未经游戏运营商认证的插件,以免被此毒混入电脑。如果您电脑上的毒霸频繁报告发现该毒,可使用金山清理专家中的垃圾文件清理功能,清空系统缓存。并下载运行免费的金山急救箱对可能存在的下载器母体进行灭活。然后,从网上或其它正常电脑上复制COMRes.dll文件到自己电脑的相应路径下,再重启系统即可。
金山急救箱下载地址 http://labs.duba.net/jjx.shtml
8. Win32.troj.cfgt.ex.38507 (CFG网游盗号器变种)
展开描述:依靠网页挂马传播,盗窃网游帐号
症状:游戏密码失效,装备丢失,网游帐号被盗
卡巴命名:Trojan-GameThief.Win32.Magania.Bdax、Trojan-PSW.Win32.LdPinch.afvu
瑞星命名:Trojan.PSW.Win32.GameOL.zqln、Trojan.PSW.Win32.XYOnline.alvn
NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD
“CFG网游盗号器变种”(win32.troj.cfgt.ex.38507)本月继续在TOP榜中保持上月的排名。这款盗号木马主要依靠网页挂马传播,能盗取多款流行网游的账号和木马。如果用户系统中存在安全漏洞,就很容易受到脚本下载器的攻击。然后脚本下载器就会直接下载此毒,或者先下载一个类似宝马下载器这样的普通下载器,再下载此盗号木马。
如果毒霸频繁提示发现此毒,表明系统中很可能存在未知的下载器,造成每次删除后又再次下载。这种情况不用慌,只需安装并运行金山安全实验室免费提供的“金山急救箱”,对未知下载器进行灭活,即可解决问题。
9. Win32.troj.onlinegamest.oc.53400(网游帐号吞吃兽)
展开描述:盗取帐号
症状:游戏装备丢失,帐号密码总输不对
卡巴命名:Trojan-GameThief.Win32.Magania.bsvr、HEUR.Trojan.Win32.Generic
瑞星命名:Trojan.PSW.Win32.GameOL.yjwn
NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD
McAfee命名: PWS-OnlineGames.ek trojan
这款盗号木马也是安全月报中的老面孔了,在上期月报中我们就对它做过介绍,所不同的是,本月它的感染量下降了一半。该毒会盗取多款著名游戏的账号密码信息,然后发送到病毒作者指定的地址。
该毒依靠挂马下载器和捆绑于其它文件的下载器的帮助,入侵用户电脑,盗窃游戏账号后将其发送到病毒作者指定的地址,随后很快就会被职业的洗号者将游戏账号中可自由交易的物品全部盗走,用户即时找回账号,能得到的也只剩一个“一丝不挂”的游戏角色。
如发现系统中有此毒无法彻底删除,很可能是有未知下载器不断将该毒下载到电脑中,可下载运行金山安全实验室的“金山急救箱”,将下载器灭活,同时运行清理专家的漏洞检查功能,查看是否有安全漏洞需要更新。
“金山急救箱”下载地址 http://labs.duba.net/jjx.shtml
10. Win32.troj.startpaget.ze.180224(IE主页篡改器ZE)
展开描述:修改IE主页,弹出广告页面
症状:IE弹出广告页面,桌面出现网页文件
卡巴命名:Trojan.Win32.StartPage.eel、Trojan.Win32.StartPage.eex
瑞星命名:Trojan.Clicker.Win32.Agent.ezen
NOD32命名:Trojan.Win32.StartPage.NNY
“IE主页篡改器ZE”(win32.troj.startpaget.ze.180224)这个广告程序在9月底时开始流行,近日又开始频频现身。
该毒主要是随着一些小型软件传播,病毒团伙将该毒捆绑在某些受欢迎的小程序里,当用户下载这些程序时,该毒就跟着混进电脑。然后它就修改IE浏览器的数据,将主页锁定为病毒作者规定的地址。
这样一来,用户每次打开IE浏览器都要被迫浏览广告页面,为这些网站“贡献”流量。而病毒团伙也就可以从中获取提成,牟取不义之财。
避免遭遇该毒的最简单办法,是不要去那些不知名的小型下载站点或不良网站,这些地方提供的视频播放器或工具多半包含此毒或类似的病毒木马。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
趋势科技安全预警:新一轮勒索软件将蔓延中国大地
今天,全球服务器安全、虚拟化及云计算安全领导厂商趋势科技发出安全预警,新一轮勒索软件在中国开始蔓延。
-
应用程序安全管理的“八大”主张(二)
任何环境中最大的风险之一是终端用户安装和运行所有他们想要的软件的能力。有很多工具可用来限制终端用户是否可以在桌面上运行程序。
-
应用程序安全管理的“八大”主张(一)
在BYOD、云计算、大数据充斥的年代里,应用程序仍然是企业信息安全不可忽略的危险地带,系统管理员应该把管理应用程序及其安全作为首要任务。
-
移动误区:我的苹果设备彻底安全么?
苹果日渐普及,被越来越多的企业使用,因此专门针对苹果设备制造的病毒数量也会越来越多。