二月十大病毒排行加花加密最危險

此排行榜是根據金山毒霸雲安全系統的監測統計，經過特殊計算後得出的參考資料，反映的是感染總量最高的前十個病毒。考慮到潛在的資料丟失和監視盲區，榜中資料均為保守值。該榜僅針對WINDOWS系統下的PE病毒單一樣本，一些總感染量很高的病毒，如貓癬，因為變種較多，分攤到各變種上的感染量反而小，因此未列入此榜。至於指令碼病毒，由於其特殊的攻擊方式，將單獨製作排行。

 

1.      win32.troj.sysjunkt.hh   （NS窺視器）

病毒特徵：加花加密，協助遠端木馬對抗殺軟

卡巴命名:Trojan.Win32.BHO.kqd

瑞星命名:RootKit.Win32.Undef.bks

N0D32命名:Win32.Adware.Cinmus,Win32.Adware.Cinmus

麥咖啡命名:DNSChanger.gen trojan

BitDefender命名:Trojan.Obfuscated.KU

自本月4號開始爆發後，“NS窺視器”（win32.troj.sysjunkt.hh）的感染量就一直居高不下。2月份的總感染量，高達1542180臺次，現在，除最早發現的利用網頁掛馬和捆綁其它程式的辦法外，該病毒部分變種的身影也出現在了一些下載器的下載列表中。

此毒為一款遠端木馬的組成部分。它的真身是個經過加花的木馬驅動。

受到“NS窺視器”入侵的電腦，會在臨時目錄中出現一個nsy8199.tmp檔案，檔案開頭兩個字母為NS，這是它的一個典型標誌。

一旦進入使用者電腦，它就修改登錄檔服務項，將自己從屬的木馬冒充成系統程式，或採用隨機命名的程式名，實現開機自啟動。它在後臺悄悄呼叫IE瀏覽器，連線到病毒作者指定的黑客伺服器，只要完成連線，使用者的電腦就會被黑客徹底控制。至於具體利用受害電腦來幹什麼，就由黑客決定。

2.      win32.vbt.hl.84701   （無公害感染源）

病毒特徵：感染檔案，幫助木馬傳播

卡巴命名:Virus.Win32.VB.bu

瑞星命名:Trojan.PSW.SBoy.a

N0D32命名:virus.Win32.Sality.NAC

麥咖啡命名:PWS-LegMir trojan

BitDefender命名:Trojan.PWS.OnlineGames.WJP

“無公害感染源”（win32.vbt.hl.84701）這個老牌病毒的保守感染量在2月份又有了大幅的上升，達到近87萬臺次。

“無公害感染源”本身沒有任何破壞能力，它只是單純的感染使用者電腦中的EXE檔案，也不會干擾被感染檔案的正常執行。但較以前的版本而言，程式碼中增加了一些用於與其它模組相連線的介面。看來，病毒作者已經完成了測試，開始將該病毒投入實戰。

儘管在感染檔案後，病毒依然不會直接破壞系統，卻能與別的木馬模組相配合了。至於它們“合體”後會有哪些危害，則要看木馬執行模組的功能如何安排，不同的變種可能具有不同的功能。

3.      win32.troj.iagent.ie.1118208    （偽裝搜尋者）

病毒特徵：非法記錄使用者上網資料，彈出廣告

卡巴命名:not-a-virus.AdWare.Win32.WSearch.

瑞星命名:AdWare.Win32.Agent.ctw

N0D32命名:Win32.Adware.WSearch

BitDefender命名:Adware.Generic.52164

 

“偽裝搜尋者”（win32.troj.iagent.ie.1118208）這個木馬本身不具備破壞能力，在使用者電腦中只是幹些偷偷記錄上網記錄的勾當。在金山毒霸雲安全系統的統計，上月該病毒保守感染量為74萬臺電腦。

這個木馬的母體，主要是藉助下載器的幫助或著是偽裝成某些綠色小軟體欺騙使用者下載，進入電腦後，母體就解壓自己，釋放出“偽裝搜尋者”和其它模組。這些模組的功能五花八門，有的能執行洪水攻擊，有的能連線遠端黑客伺服器，還有些只能發信。

而“偽裝搜尋者”（win32.troj.iagent.ie.1118208）這一模組，則是記錄使用者訪問過的網址，將它們與自帶的地址列表比對後，傳送給通訊模組，由通訊模組將這些資料傳送出去。這樣的行為，應該是在為廣告軟體服務，目的是瞭解使用者的上網習慣，以便製作精確的廣告投放。

4.      win32.troj.onlinegamet.fd.295241    (網遊盜號木馬295241)

病毒特徵：瘋狂盜竊網遊帳號，侵吞玩家虛擬財產

卡巴命名:Worm.Win32.Downloader.zd

瑞星命名:Trojan.PSW.Win32.GameOL.udx

N0D32命名:Trojan.Win32.PSW.OnLineGames.NTM

BitDefender命名:Trojan.Generic.1393932

 

“網遊盜號木馬295241”（win32.troj.onlinegamet.fd.295241），這是一個網遊盜號木馬。根據變種的不同，它可盜竊多款網遊的帳號和密碼。該病毒最早出現於去年9月上旬，這次以新變種的身份再次作亂。目前發現的主要傳播方式時藉助木馬下載器的幫助。

這個盜號木馬新變種的對抗能力其實並不強，與去年9月時的版本相比，幾乎就沒有技術上的變化，只不過調整了幾個盜竊目標的引數，以便能盜竊更多遊戲而已。

但由於藉助了一些比較流行的下載器的幫助（比如貓癬等），它近來的感染量有所增加,保守感染量為722300臺次。

5.      win32.troj.pebinder.vi.425984    (木馬下載器425984)

病毒特徵：下載病毒木馬，竊取機密資料

卡巴命名:Trojan.Win32.Zapchast.ro

瑞星命名:Dropper.Win32.Undef.oz

N0D32命名:Trojan.Win32.TrojanDownloader.Agent.OUG

BitDefender命名:Dropped:Generic.Malware.P!BTk.8DEE9164

 

“木馬下載器425984”（win32.troj.pebinder.vi.425984）是一個木馬下載器程式，它能下載大量的盜號木馬和遠端控制木馬到使用者電腦中執行，這些木馬能盜竊使用者電腦中有價值的資訊，甚至控制使用者電腦去做黑客所希望的事情。

“木馬下載器425984”母體的對抗能力並不強，必須藉助專門的對抗模組來對付防毒軟體。目前主要依靠JS指令碼木馬來進行傳播，當使用者電腦中了某些JS掛馬後，這些掛馬就會下載此病毒，然後由它來執行更復雜的下載任務。

2月，此病毒的感染成績為635784臺次，這個數字不小，值得重視。而防禦“木馬下載器425984”最好的辦法就是打齊系統補丁。

6.      Win32.Troj.QQPswT.bs.116858    （QQ小偷）

病毒特徵：盜竊QQ帳號，洗劫使用者Q幣

卡巴命名:Trojan-PSW.Win32.QQPass.fqt

瑞星命名:rojan.PSW.Win32.QQPass.dzm

N0D32命名:Trojan.Win32.PSW.Delf.NLZ

BitDefender命名:Generic.PWStealer.B2169547

 

隨著近來一些系統安全漏洞的公佈，JS指令碼木馬在網路中大肆掛馬，很多老牌病毒藉著這股“東風”，又出來興風作浪、為害網路。“QQ小偷”就是其中之一。

這是一款針對QQ即時聊天工具的盜號木馬，在之前版本中，它是依靠AUTO及時來進行自動傳播的。它每進入一臺電腦，就在各磁碟分割槽中生成自己的AUTO檔案，一旦使用者在中毒電腦上使用U盤等移動儲存裝置，這些AUTO檔案就會立刻將其感染。這樣一來，該病毒就能隨著U盤到處傳播了。

目前受“QQ小偷”威脅最大的，主要是網咖等公共電腦。因為這些電腦的U盤使用率較高，U盤來源也複雜，並且每次電腦重啟後都會刪除之前下載的檔案，以保護系統的清潔。但實際上，這樣也會將補丁也一同刪除，使得電腦極易遭受那些包含有該病毒下載連結的掛馬的攻擊。

 

7.      win32.hack.thinlpackert.a.378833    (會飛的烏龜殼378833)

病毒特徵：保護病毒木馬，躲避殺軟查殺

卡巴命名:trojan-Download.Win32.Banload.

瑞星命名:Packer.Win32.Agent.r

N0D32命名:Trojan.Win32.Spy.Banker.ADOZ

麥咖啡命名:PWS-Banker trojan

BitDefender命名:Trojan.AgenMB.

 

自2月8號發出相關預警後，“會飛的烏龜殼378833”果然出現大幅度的傳播趨勢。這個“殼”的當月保守感染量達到39萬餘臺次。

這個病毒是一個比較老的“殼”，早在去年11月份就已出現。它能夠對其它病毒進行加密，保護它們不受安全軟體的查殺。病毒“殼”本身沒有任何破壞能力，但它可以包裹其它病毒檔案，試圖讓安全軟體無法識別出這些病毒。當進入使用者系統後，它會先獲得控制權，得以執行，然後釋放出體內的病毒。這些病毒才是帶來真正麻煩的罪犯。

給軟體加殼，在正常軟體中也很常見，這可用於程式的自保護。但有些加密極為複雜、且充斥大量垃圾資訊的“殼”，明顯是專為對抗安全軟體而設計，“會飛的烏龜殼378833”就是此類。金山毒霸反病毒工程師認為，這很可能代表病毒作者正試圖藉助它來推廣另外的某些病毒。

 

8.      win32.troj.sysjunk2.ak.32768    (木馬驅動器32768)

病毒特徵：修改系統資料，保證木馬順利執行

就和普通製造業的模組化一樣，病毒製作也在走向模組化。病毒作者不必親自寫完所有程式碼，而只需要挑選自己喜歡的模組相組合，就能得到想要的病毒。“木馬驅動器32768”就是一個這樣的模組。

這個驅動檔案，加密加花比較強。主要用於恢復系統SSDT表，以及獲取系統許可權，還可以破壞一些常見安全軟體的驅動。這些行為直接決定了木馬是否可以成功入侵，難怪病毒作者如此費心的對其進行加密，並且還放上許多花指令試圖干擾反病毒工作者的分析。

   根據金山毒霸雲安全系統的統計，“木馬驅動器32768”整個2月份在國內網路中，至少嘗試攻擊了380500臺次的電腦，但與它同時入侵的其它木馬模組，卻又各有不同，也就是說，有多款木馬都利用了此模組。看來，這款產品還真受廣大病毒作者的歡迎。

9.      win32.troj.agent.49242    （摘星者下載器）

病毒特徵：對抗殺軟，下載網遊盜號木馬

這個木馬早在2007年就曾流行過一次，因為能關閉瑞星的安全提示視窗，被命名為“摘星者”。在銷聲匿跡一年半後，它又出現了，而且感染量增長迅猛，保守感染值從2月初的不到800臺次驟然飆升至月底的37萬臺次。這次發現的變種，對抗範圍大大增加，包含了目前業內大部分的安全軟體。

該病毒自帶有一個龐大的字元庫，內容為各安全軟體的提示視窗字元和編碼。“摘星者”利用它來搜尋系統中是否有安全軟體的提示視窗彈出，一經發現，便搶在它們顯示出來前，將它們關閉，阻止使用者獲知系統中的異常。

隨後的行為，就與其它下載器一樣，下載列表中幾乎都是網遊盜號木馬，這是也算是國內木馬下載器的一個特色了。

10.  win32.troj.iagent.ie.1114624    （玩家廣告機）

病毒特徵：彈出廣告視窗，浪費網路流量

卡巴命名:not-a-virus.AdWare.Win32.WSearch.ks

瑞星命名:AdWare.Win32.Undef.eme

N0D32命名:Win32.Adware.WSearch

BitDefender命名:Application.Generic.30657

 

通常來說，廣告軟體帶給使用者的損失並不大，它們不盜取帳號、不破壞系統，只是不時彈幾個廣告視窗或將IE首頁改成廣告網站，讓人覺得心煩。不過，“玩家廣告機”這個廣告程式，它帶來的麻煩就比較大。

2月“玩家廣告機”達到近25萬臺次的保守感染量。雖然“玩家廣告機”進入系統後乾的活與其它廣告軟體無異，但病毒在使用者正啟動某些大型程式時彈出視窗，就會導致系統由於資源緊張而當機。設想一下，如果你正在使用PS軟體或做大型報表，突然當機了，該怎麼辦？

“玩家廣告機”目前的版本無法自動傳播，必須藉助下載器的幫助。另外，病毒團伙有時候也會將這類廣告軟體偽裝成某些軟體的啟動圖示，捆綁與程式中，欺騙使用者下載和點選。