2009年9月十大病毒排行榜

日期: 2009-10-19 来源:TechTarget中国

  此排行榜是根据金山毒霸云安全系统的监测统计,经过特殊计算后得出的参考数据,反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区,榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本,一些总感染量很高的病毒,因为变种较多,分摊到各变种上的感染量反而小,因此未列入此榜。

  1.  Win32.induc.a.820224 (Delphi梦魇)
  展开描述:感染Delphi环境,从源头污染程序
  症状:无任何症状
  卡巴命名:Virus.Win32.Induc.a
  NOD32命名:virus.Win32.Induc.A
 
  这是一个针对Delphi程序员的病毒“Delphi梦魇”,它专门感染Delphi程序员的电脑,一旦成功,程序员今后写出的任何程序,都将带有该毒。

  当随着被感染文件进入电脑系统,“Delphi梦魇”就开始检验系统中是否有Delphi环境。它通过循环检测注册表键值的方法查找dephi 的安装目录,如果找到dephi,就将恶意代码前排插入SysConst.pas文件,这个文件编译的时候,会生成SysConst.dcu,而这个文件会被添加到每个新的dephi工程中。于是,Delphi程序员们所编写的程序就全部带毒了。
该毒不具备破坏能行为,但由于其在技术和攻击方式上的突破,已经成为一些不法黑客借鉴和改造的对象,基于该毒改写的下载器已经在技术上实现,一旦被广泛利用,后果难以想像。而且目前国内除金山毒霸外,尚无别的杀软厂家具备查杀该毒的能力,这更加重了国内网络的危险。

  2.  Win32.troj.geralt.kb.190962(病毒寄生播放器)
  展开描述:捆绑视频播放器、下载器,弹广告并下载木马
  症状:弹出广告窗口,陌生进程迅速增多
  卡巴命名:Trojan.Win32.Vilsel.gyj、Trojan.Win32.Vilsel.gpc
  瑞星命名: Trojan.Win32.KillAV.caqn、Worm.Win32.Autorun.stan
  NOD32命名: Trojan.Win32.AntiAV.NCL,Trojan.Win32.AntiAV.NCL

  这是一款依靠捆绑传播的木马程序,它会执行弹广告、下载木马等行为。该毒主要借助捆绑于流行的播放器来传播,比如最近比较受欢迎的Qvod。随着各种在线播放器的流行,木马团伙也找到了新的传播渠道:他们将木马捆绑在某些比较受欢迎的播放器或视频下载器中,然后设法欺骗用户下载经过他们改造的播放器,使得用户中招。

  该毒的大部分样本被发现捆绑于非官方下载页面的Qvod播放器以及某些视频下载器中。金山毒霸安全专家分析,木马团伙是在一些论坛、社区或不良视频网站投放下载链接,然后以热播影片引诱用户下载。

  一旦用户安装这些被动过手脚的播放器或下载器,木马就会立即运行起来,执行木马团伙设定的指令,主要是弹出广告窗口和下载其它木马。

  3.  Win32.troj.onlinegamest.oc.53400(网游帐号吞吃兽)
  展开描述:盗取帐号
  症状:游戏装备丢失,帐号密码总输不对
  卡巴命名:Trojan-GameThief.Win32.Magania.bsvr、HEUR.Trojan.Win32.Generic
  瑞星命名:Trojan.PSW.Win32.GameOL.yjwn
  NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD
  McAfee命名: PWS-OnlineGames.ek trojan

  这是一个针对多款流行网游的盗号木马。它会盗取魔兽世界等著名游戏的账号密码信息,然后发送到病毒作者指定的地址。
该毒依靠挂马下载器和捆绑于其它文件的下载器的帮助,入侵用户电脑,可盗窃包括魔兽世界在内的一些流行网游的游戏账号,然后将其发送到病毒作者指定的地址,随后很快就会被职业的洗号者将游戏账号中可自由交易的物品全部盗走,用户及时找回账号,能得到的也只剩一个“一丝不挂”的游戏角色。

  如发现系统中有此毒无法彻底删除,很可能是有未知下载器不断将该毒下载到电脑中,可下载运行金山安全实验室的“金山急救箱”,将下载器灭活,同时运行清理专家的漏洞检查功能,查看是否有安全漏洞需要更新。

  “金山急救箱”下载地址 http://labs.duba.net/jjx.shtml

  4.  Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者)
  展开描述: 模仿文件夹图标,欺骗用户点击
  症状:U盘文件夹图标被替换,杀毒后文件夹丢失
  卡巴命名: P2P-Worm.Win32.Agent.ta、Trojan-Dropper.Win32.Flystud.ko
  瑞星命名: Trojan.Win32.ECode.een、orm.Win32.Agent.aaqn
  NOD32命名: virus.Win32.Small.L、Worm.Win32.AutoRun.FlyStudio.GS
  McAfee命名: W32.Madangel.b virus、W32.Fujacks.aw virus

  Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者)是一个U盘病毒,它将用户系统中的文件夹图标全部变为自己的EXE文件,用户必须点击病毒文件才可进入文件夹。这使得病毒得以绕过系统或安全软件的U盘监控功能。如果该变种所携带的执行模块是广告插件,那么就会尽可能多的弹出广告网页。

  该毒给很多用户带来的最大麻烦是它会将用户的文件隐藏起来,即使用户借助杀软将其删除,也难以恢复。这使得一些用户误以为是杀软将自己的文件夹删除。

  使用金山安全实验室的急救箱,可完美解决该毒带来的这一问题。下载地址 http://labs.duba.net/jjx.shtml


  5.  Win32.troj.fakefoldert.yo.1406378(文件夹模仿者变种)
  展开描述: 模仿文件夹图标,欺骗用户点击
  症状:U盘文件夹图标被替换,杀毒后文件夹丢失
  卡巴命名: Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af
  瑞星命名:Trojan.Win32.ECode.een、Trojan.Win32.ECode.een
  NOD32命名:Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ
  McAfee命名: W32.Autorun.worm.dq virus、W32.Autorun.worm.ev virus

  此毒为Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者)的一款变种,感染该毒后的所有症状完全一致。

  6.  Win32.trojdownloader.agent.151552(小广告下载器)
  展开描述:弹广告并且下载其它木马的流氓插件
  症状:IE浏览器自动弹出窗口,陌生进程增多
  卡巴命名: Trojan-Downloader.Win32.Agent.cqlm、Trojan-Dropper.Win32.StartPage.aw
  瑞星命名:Trojan.Win32.StartPage.nbkn
  NOD32命名:Trojan.Win32.StartPage.NMW

  该毒为一款能修改IE浏览器默认主页的流氓程序,它同时也具备下载器的功能,会下载一些别的恶意程序到电脑中运行。
它在进入系统后,会将IE浏览器的默认主页修改成病毒作者指定的地址,以便在用户每次启动IE时弹出广告。但由于它加入了下载器功能,会下载更多的其它木马,因而带来的潜在影响就更大。病毒作者可以通过修改下载列表,把任何一种病毒木马传输到用户电脑中。

  此毒在9月末的最后几天爆发,迅速飙升为单日感染量最高的病毒,金山毒霸反病毒工程师预计,这一病毒在10月初依然会保持这样的强势。

  7.  Win32.pswtroj.gameol.226416 (网游盗号者OL)
  展开描述:盗窃网游账号
  症状:游戏突然中断,账号无法登陆,装备无故丢失
  卡巴命名:Trojan-GameThief.Win32.Magania.bzjz
  瑞星命名:Trojan.PSW.Win32.GameOL.yjwn
  NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD
  McAfee命名:PWS-OnlineGames.ek trojan

  “网游盗号者OL”(win32.pswtroj.gameol.226416)在9月初时,感染量曾呈现出快速增长的势头。金山毒霸安全专家认为是有病毒团伙在背后进行推广有关。

  该盗号木马的行为非常简单,但是却在如此短的时间内传播得如此广,通过对金山云安全系统捕获的病毒样本进行分析,我们发现该毒完全是依靠某款下载器在进行传播。

  病毒团伙将精心构造的脚本木马挂到一些网站上,一旦存在某些系统漏洞的电脑访问网站,就会被脚本木马感染,随后这些脚本木马会将功能更强的木马下载器下载到电脑上,再由木马下载器来下载“网游盗号者OL”(win32.pswtroj.gameol.226416)。
  
  如果发现电脑中出现此毒且无法彻底清除,表明系统中已经混入了经过精心免杀处理的未知下载器,用户可下载运行金山安全实验室的金山急救箱,即可将未知下载器灭活。

  金山急救箱下载地址 http://labs.duba.net/jjx.shtml

  8.  Win32.troj.cfgt.ex.38507  (CFG网游盗号器变种)
  展开描述:依靠网页挂马传播,盗窃网游帐号
  症状:游戏密码失效,装备丢失,网游帐号被盗
  卡巴命名:Trojan-GameThief.Win32.Magania.Bdax、Trojan-PSW.Win32.LdPinch.afvu
  瑞星命名:Trojan.PSW.Win32.GameOL.zqln、Trojan.PSW.Win32.XYOnline.alvn
  NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD
 
  “CFG网游盗号器变种”(win32.troj.cfgt.ex.38507)已经是继续在我们的TOP榜上露脸。这款盗号木马主要依靠网页挂马传播,能盗取多款流行网游的账号和木马。如果用户系统中存在安全漏洞,就很容易受到脚本下载器的攻击。然后脚本下载器就会直接下载此毒,或者先下载一个类似宝马下载器这样的普通下载器,再下载此盗号木马。

  如果毒霸频繁提示发现此毒,表明系统中很可能存在未知的下载器,造成每次删除后又再次下载。这种情况不用慌,只需安装并运行金山安全实验室免费提供的“金山急救箱”,对未知下载器进行灭活,即可解决问题。

  9.  Win32.troj.gameolt.zg.61529(网游盗号木马ZG)
  展开描述: 盗窃网游帐号,洗劫虚拟财产
  症状:游戏密码错误,装备丢失,网游帐号被盗
  卡巴命名:Trojan-GameThief.Win32.Magania.bjlw、HEUR.Trojan.Win32.Generic
  瑞星命名:Trojan.PSW.Win32.GameOLx.cpn
  NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD
  McAfee命名: PWS-OnlineGames.ek trojan

  该毒是一个针对网络游戏的盗号木马程序,此毒在7月份时就已经开始流行。它能盗窃多款流行网游的账号密码信息。
大量的0day漏洞为各类脚本下载器的挂马传播提供了有利条件,而脚本下载器在进入系统后,就会下载不少传统的木马。Win32.troj.gameolt.zg.61529正是在这样的情况下,实现感染量的大幅增长的。而如果用户发现自己电脑中不断出现此毒,那么表明系统中已经潜入了某款未知下载器,这种情况,可下载运行金山安全实验室的“金山急救箱”,对未知下载器灭活即可。


  10.  Win32.Troj.Shutdown.c.45056(拔插头病毒)
  展开描述:逼迫用户重启电脑,令木马得以尽快运行
  症状:电脑自动关机,或突然死机
  卡巴命名:Virus.Win32.Sality.k
  瑞星命名:Win32.Sality.arn
  NOD32命名:virus.Win32.Sality.NAC
  McAfee命名:W32.Sality.m virus

  此毒为一款木马程序的组成模块。它运行后就强行关机,逼迫用户重启电脑,以便令木马主程序尽快的得以运行。
当木马的母体完成注册表修改,这一模块就运行起来,篡取电脑的电源控制权限,命令电脑立刻关机。如此一来用户必然重启电脑,木马也就可以更快速的运行了。

  但这样做的结果,就是用户可能会遭受比木马入侵更大的损失。比如正在进行的重要工作被迫中断、电脑硬件因突然断电而受损等。如果用户遇到电脑莫名其妙自动关机,很有可能就是遇到了该毒或是类似的恶意程序。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐