近日，德国杀软品牌G Data发布了2011年11月活跃病毒情况报告。

　　G Data病毒活跃报告：2011年11月期（TOP  TEN）

排名	名称	比例	同比9月
1	Java.Exploit.CVE-2010-0840.E	3.66 %	上升（10月第8位）
2	Exploit.CplLnk.Gen	1.41 %	上升（10月第9位）
3	Worm.Autorun.VHG	0.83 %	上升（10月第4位）
4	Win32:DNSChanger-VJ [Trj]	0.74 %	新入榜
5	Trojan.AutorunINF.Gen	0.73 %	下降（10月第3位）
6	Trojan.Wimad.Gen.1	0.61 %	下降（10月第2位）
7	Java.Trojan.Downloader.OpenConnection.AI	0.44 %	上升（10月第10位）
8	Application.Keygen.BG	0.42 %	新入榜
9	Gen:Variant.Adware.Hotbar.1	0.37 %	新入榜
10	PDF:Exploit.JS.V	0.33 %	新入榜

　　详细分析说明：

　　1.这是一个基于Java编写的恶意下载程序，利用安全漏洞（CVE-2010-0840）规避沙盘保护机制，将恶意程序下载至目标计算机。一旦该程序突破沙盘，它将下载一个DLL文件，该文件不会被立即执行，而是借助REGSVR32注册一个系统服务进程，并随机启动。

　　2.该漏洞使用LNK文件和PIF文件的验证缺陷，主要针对Windows快捷方式，这是一个在2011年年中发现的安全漏洞（CVE-2010-2568），一旦这些被利用的快捷方式在Windows中打开，只要资源管理器中显示包含的图标，攻击者的代码会被立即执行，该代码可从本地文件系统（例如可移动存储设备，被挟持的LNK文件等），或从基于WebDAV协议的网络共享加载。

　　3.这是一个蠕虫病毒，利用Autorun.inf的功能在Windows系统中传播，使用可移动介质，如USB闪存驱动器或外部硬盘驱动器。该蠕虫病毒主要利用Windows CVE-2008-4250漏洞。

　　4.此为Rootkit病毒的一部分，目的是保护其他病毒组件。例如，它可以阻止安全软件升级更新。访问网站主机将被解析为“本地主机”。这就有效的使其无法访问。这也是此病毒为什么叫做“DNSChanger”，因为它操纵DNS协议。

　　5.这是一个通用的检测，可检测已知和未知的恶意autorun.inf文件。Autorun.inf可被恶意计算机程序利用为启动文件，经常发生在USB设备、可移动媒体，CD和DVD上。

　　6.该木马伪装成一个正常的WMA音频文件-要求安装一个特殊的解码器，才可在Windows系统上播放。如果用户运行该文件，攻击者可在系统上安装各种恶意代码。该受感染的音频文件，主要通过共享网络传播。

　　7.该木马是一个可被操控的Java小程序，主要来自网页。当其被下载运行，根据程序参数生成URL，利用该链接下载恶意可执行文件至用户计算机并运行。这类文件可涵盖各种恶意程序。该木马主要利用CVE-2010-0840漏洞，可绕过Java沙盘，从而写入本地数据。

　　8.这是一个序列号生成器。在很多P2P文件共享及盗版软件网站中很流行。据说这个程序可以应用于那些收费授权软件。运行词程序不仅是个法律问题，而且还会带来很多安全隐患。

　　9.这是被偷偷安装的广告软件， 来源于一些免费软件的安装包，例如VLC, XviD等。这个软件最新版本的赞助商是 ‘Click Potato’ 和 ‘Hotbar’。所有的包的数字签名为 “Pinball Corporation”。此广告程序随着Windows启动而自动运行，且将自己集成为系统托盘图标。

　　10.是一个基于JavaScript的漏洞开发的病毒，主要针对Acrobat Reader9.0及以前版本的软件。恶意PDF包含变种的javascript，确保可以在Acrobat Reader的进程中执行任意代码。这个恶意代码可以从网页服务器下载任意文件到%TEMP%然后运行，下载的文件可能是病毒。

　　鉴于上述报告中，第一位及第七位以及第十位都是针对Java漏洞的恶意程序，G Data杀毒软件特别提醒您：

　　1.普通个人用户如无必要，无需安装JAVA。

　　2.已安装用户应及时更新JAVA到最新版本，并通过系统控制面板配置JAVA自动检查更新。

　　3.不要随意打开陌生邮件中的超链接，尽量不要接收陌生人通过即时通讯软件发送的消息。

　　4.安装功能全面的高品质专业安全软件，最好是全功能安全软件。及时更新并开启全面防护。

　　5.及时修补操作系统漏洞。