2007年上半年十大病毒档案
一、ANI病毒
病毒名称:Exploit.ANIfile
病毒中文名:ANI病毒
病毒类型:蠕虫
危险级别:★★
影响平台:Windows 2000/XP/2003/Vista
描述: 以Exploit.ANIfile.b为例,“ANI毒”变种b是一个利用微软Windows系统ANI文件处理漏洞(MS07-017)进行传播的网络蠕虫。“ANI毒”变种b运行后,自我复制到系统目录下。修改注册表,实现开机自启动。感染正常的可执行文件和本地网页文件,并下载大量木马程序。感染本地磁盘和网络共享目录下的多种类型的网页文件(包括*.HTML,*.ASPX,*.HTM,*.PHP,*.JSP,*.ASP),植入利用ANI文件处理漏洞的恶意代码。自我复制到各逻辑盘根目录下,并创建autorun.inf自动播放配置文件。双击盘符即可激活病毒,造成再次感染。修改hosts文件,屏蔽多个网址,这些网址大多是以前用来传播其它病毒的站点。另外,“ANI毒”变种b还可以利用自带的SMTP引擎通过电子邮件进行传播。
二、U盘寄生虫
病毒名称:Checker/Autorun
病毒中文名:U盘寄生虫
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:Checker/Autorun“U盘寄生虫”是一个利用U盘等移动设备进行传播的蠕虫。“U盘寄生虫”是针对autorun.inf这样的自动播放文件的蠕虫病毒。autorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下,当用户双击U盘等设备的时候,该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件,而该文件就会立即执行所要加载的病毒程序,从而破坏用户计算机,使用户计算机遭受损失。
三、熊猫烧香
病毒名称:Worm/Viking
病毒中文名:熊猫烧香
病毒类型:蠕虫
危险级别:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:以Worm/Viking.qo.Html“威金”变种qo(熊猫烧香脚本病毒)为例,该病毒是由“熊猫烧香”蠕虫病毒感染之后的带毒网页,该网页会被“熊猫烧香”蠕虫病毒注入一个iframe框架,框架内包含恶意网址引用 ,这样,当用户打开该网页之后,如果IE浏览器没有打上补丁,IE就会自动下载并且执行恶意网址中的病毒体,此时用户电脑就会成为一个新的病毒传播源,进而感染局域网中的其他用户计算机。
四、“ARP”类病毒
病毒名称:“ARP”类病毒
病毒中文名:“ARP”类病毒
病毒类型:木马
危险级别:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。 用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击。当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
五、代理木马
病毒名称:Trojan/Agent
病毒中文名:代理木马
病毒类型:广告程序
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:以“代理木马”变种crd为例, Trojan/Agent.crd是一个盗取用户机密信息的木马程序。“代理木马”变种crd运行后,自我复制到系统目录下,文件名随机生成。修改注册表,实现开机自启。从指定站点下载其它木马,侦听黑客指令,盗取用户机密信息。
六、网游大盗
病毒名称:Trojan/PSW.GamePass
病毒中文名:网游大盗
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:以Trojan/PSW.GamePass.hvs为例,“网游大盗”变种hvs是一个木马程序,专门盗取网络游戏玩家的帐号、密码、装备等。
七、鞋匠
病毒名称:Adware/Clicker
病毒中文名:鞋匠
病毒类型:广告程序
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:以Adware/Clicker.je为例,“鞋匠”变种je是一个广告程序,可弹出大量广告信息,并在被感染计算机上下载其它病毒。“鞋匠”变种je运行后,在Windows目录下创建病毒文件。修改注册表,实现开机自启。自我注册为服务,服务的名称随机生成。侦听黑客指令,连接指定站点,弹出大量广告条幅,用户一旦点击带毒广告,立即在用户计算机上安装其它病毒。
八、广告泡泡
病毒名称:Adware/Boran
病毒中文名:广告泡泡
病毒类型:广告程序
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:以 Adware/Boran.e为例,“广告泡泡”变种e是一个广告程序,采用RootKit等底层技术编写,一旦安装,很难卸载彻底。该程序会在C:\Program Files\MMSAssist下释放出病毒文件。在后台定时弹出广告窗口,占用系统资源,干扰用户操作。
九、埃德罗
病毒名称:TrojanDownloader
病毒中文名:埃德罗
病毒类型:广告程序
危险级别:★
影响平台:Win 2000/XP/2003
描述: Adware/Adload.ad“埃德罗”变种ad是一个广告程序,在被感染计算机上强制安装广告。
十、IstBar脚本
病毒名称:TrojanDownloader.JS.IstBar
病毒中文名:IstBar脚本
病毒类型:木马下载器
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:TrojanDownloader.JS.IstBar.t“IstBar脚本”变种t是一个用JavaScript语言编写的木马下载器。“IstBar脚本”变种t运行后,在用户的计算机中强行安装IstBar工具条,造成用户系统变慢,自动弹出广告,强行锁定用户的IE首页等等。
2006年(瑞星)十大病毒排行
1、熊猫烧香(Worm.Nimaya)2、威金蠕虫(Worm.Viking)3、代理木马下载器(Trojan.DL.Agent)4、传奇终结者(Trojan.PSW.Lmir)5、征途木马(Trojan.PSW.Zhengtu)6、QQ通行证(Trojan.PSW.QQPass)7、威尔佐夫(Worm.Mail.Warezov)8、调用门Rootkit(Rootkit.CallGate)9、灰鸽子后门(Backdoor.Gpigeon)10、魔兽木马(Trojan.PSW.WoWar)
转载自:天天安全网
1, 病毒名称:Worm/Viking
变种数量: 520
累计感染计算机: 446450
累计感染文件: 36728393
病毒中文名:“威金蠕虫”
病毒类型:蠕虫
危险级别:★★★☆
影响平台:Win2003/XP/2000/NT/9x/ME
描述:威金蠕虫感染Windows可执行文件,并会查找局域网中所有的共享计算机,尝试猜解它们的密码,试图感染这些计算机。该病毒还会自动在后台下载并窃取网络游戏玩家的账号和密码,并发送给黑客。同时,该病毒还会下载一个QQ病毒,自动向用户的QQ好友发送内容为“看看啊。我最近的照片~才扫描到QQ相册上的!”的消息并附带一个网址,其他用户点击消息中的网址就可能被病毒感染。
2,病毒名称: Backdoor/Huigezi
变种数: 13379
累计感染计算机: 897592
累计上报次数: 6392600
病毒中文名:“灰鸽子后门”
病毒类型:后门
危险级别:★☆
影响平台: Win 9X/ME/NT/2000/XP/2003
描述:Backdoor/Huigezi.2006.ekr“灰鸽子2006”变种ekr是一个未经授权远程访问用户计算机的后门。“灰鸽子2006”变种 ekr运行后,自我复制到系统目录下。修改注册表,实现开机自启。侦听黑客指令,记录键击,盗取用户机密信息(例如,拨号上网密码,URL密码,共享密码)。另外,“灰鸽子2006”变种ekr还可以下载并执行特定文件,开启或关闭CD-ROM等。
3,病毒名称:Adware/QQHelper
变种数:1983
累计感染计算机: 1582345
累计上报次数: 4483989
病毒中文名:“多多QQ表情”
病毒类型:间谍软件
危险级别:★★★☆
影响平台: Win 9X/ME/NT/2000/XP
描述:“QQ多表情”变种是一个间谍广告软件,由VC++.NET工具编写,随着QQ多表情软件安装到用户电脑中,生成文件:C:\Windows\ system32\res.exe该程序采用RootKit 技术隐藏自身进程,会干扰IE的正常运行,使系统的的运行速度变慢。
4, 病毒名称:Trojan/PSW.QQPass
变种数: 1414
累计感染计算机: 615901
累计上报次数: 4580158
病毒中文名:“QQ盗号木马”
病毒类型:木马
危险级别:★
影响平台:Win9X/2000/XP/NT/Me
描述: Trojan/QQPass.ak是用Delphi编写并经UPX压缩的木马,用来窃取游戏"传奇"信息。
传播过程及特征:
1.创建下列文件:
%System%\winsocks.dll, 91136字节
%Windir%\intren0t.exe, 91136字节
2.修改注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Intren0t" = %Windir%\intren0t.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Intren0t" = %Windir%\intren0t.exe
这样,在Windows启动时,病毒就可以自动执行。
注:%Windir%为变量,一般为C:\Windows 或 C:\Winnt;
%System%为变量,一般为C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
5, 病毒名称: Trojan/PSW.LMir
变种数: 1896
累计感染计算机: 739169
累计上报次数: 4033649
病毒中文名:“传奇窃贼”
病毒类型:木马
危险级别:★
影响平台: Win 9x/2000/XP/NT/Me
描述:传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后,主程序文件自己复制到系统目录下。修改注册表,实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后,会自动重启。窃取“传奇2”帐号密码,并将盗取的信息发送给黑客。
6, 病毒名称:Adware/Adload (埃得罗)
变种数量: 535
累计感染计算机: 433920
累计上报次数: 1288152
病毒中文名:“埃得罗”
病毒类型:木马
危险级别:★☆
影响平台:Win2003/XP/2000/NT/9x/ME
描述:这是一个广告程序,该病毒在目标系统中生成病毒文件。%System%inituser.exe运行时将资源段中的代码注入explorer.exe。该病毒尝试下载其他文件,并会收集客户机的信息。
7, 病毒名称:Trojan/PSW.GamePass
变种数量: 510
累计感染计算机: 157846
累计上报次数: 1095735
病毒中文名:“落雪木马”
病毒类型:木马
危险级别:★☆
影响平台:Win2003/XP/2000/NT/9x/ME
描述:“落雪”木马也叫“游戏大盗”,由VB 程序语言编写,通过 nSPack 3.1 加壳处理(即通常所说的“北斗壳”North Star),该木马文件图标一般是红色的图案,伪装成网络游戏的登陆器。病毒运行后,在C盘program file以及windows目录下生成 winlogon.exe、regedit.com等14个病毒文件,病毒文件之多比较少见,,事实上这14个不同文件名的病毒文件系同一种文件。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了 .com。这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件Msconfig.exe的时候,一般习惯上输入 Msconfig,而这是执行的并不是微软的 Msconfig.exe程序,而是病毒文件 Msconfig.com ,病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为 winlogon.exe的进程,并把 winlogon.exe 的路径指向c:\windows\winlogon.exe,而正常的系统进程路径是 C:\WINDOWS\system32\ winlogon.exe,以此达到迷惑用户的目的。除了在C盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击html文件时,都会运行病毒。此外,病毒还在D盘下生成一个自动运行批处理文件,这样即使C盘目录下的病毒文件被清除,当用户打开D 盘时,病毒仍然被激活运行。
8,病毒名称: TrojanSpy.Banker
变种数: 210
累计感染计算机: 42838
累计上报次数: 864276
病毒中文名:“工行钓鱼木马”
病毒类型:木马
危险级别:★★★
影响平台:Windows 98/ME/NT/2000/XP/2003
描述:这是一个十分狡猾的盗取网上银行密码的木马病毒。病毒运行后,在系统目录下生成svchost.exe文件,然后修改注册表启动项以使病毒文件随操作系统同时运行。 病毒运行后,会监视微软IE浏览器正在访问的网页,如果发现用户在工行网上银行个人银行登录页面上输入了帐号、密码,并进行了提交,就会弹出伪造的IE窗,内容如下: “为了给您提供更加优良的电子银行服务,6月25日我行对电子银行系统进行了升级。请您务必修改以上信息!”病毒以此诱骗用户重新输入密码,并将窃取到的密码通过邮件发送到一个指定的163信箱。该病毒同时还会下载灰鸽子后门病毒,感染灰鸽子的用户系统将被黑客远程完全控制。
9, 病毒名称:Backdoor/HookSSDT
变种数量: 35
累计感染计算机: 123404
累计上报次数: 196468
病毒中文名:“隐形门”
病毒类型:后门
危险级别:★★
影响平台:Win2003/XP/2000/NT/9x/ME
描述:Backdoor/HookSSDT.b“隐形门”可开启用户计算机的后门,篡改Windows系统文件,导致任务管理器等一些程序显示错误信息。利用rootkit隐藏自我,防止被查杀。
10,病毒名称: I-Worm/Warezov
变种数量: 633
累计感染计算机: 20351
累计上报次数: 227240
病毒中文名:“龌龊虫”
病毒类型:蠕虫
危险级别:★★
影响平台:win 9x/me/nt/2000/xp/2003
描述:i-worm/warezov.ja“龌龊虫”变种ja是一个利用群发带毒邮件进行传播的网络蠕虫。“龌龊虫”变种ja运行后,自我复制到系统目录下,文件名由10个任意字母组成,后缀是.exe。弹出虚假升级成功信息框。修改注册表,实现开机自启。在Windows目录下释放病毒文件。强行篡改 ie浏览器设置,连接指定站点,下载病毒文件。从被感染计算机上搜索有效邮箱地址,群发带毒邮件。
TAG:
评分(
