2006年上半年十大病毒排行出炉灰鸽子成毒王

病毒, 木马, IE浏览器, 江民科技, 灰鸽子

国内最大的计算机反病毒软件供应商江民科技发布了2006年上半年十大病毒排行及病毒疫情报告。
　　十大病毒排行中，“灰鸽子”木马及其变种以其广泛的传播性和极高的危害特征名列十大病毒之首，成为2006年上半年名副其实的“毒王”。以窃取“传奇”等网络游戏账号为目的“传奇木马”名列第二，而以制造“僵尸网络”的BOT类病毒“高波”和“瑞波”并列第三名。此外，攻击微软IE浏览器MHTML跨安全区脚本执行漏洞(MS03-014)的恶意网页脚本CHM木马以及攻击微软2006年首个0day漏洞（MS06-001）WMF木马名列十大病毒第四、第五位，通过QQ传播的盗窃“传奇”号码的“QQ大盗”病毒名列第六，同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点的“维京”病毒名列第七，以盗取QQ或网络游戏的帐号密码为目的“传华木马”名列十大病毒之八，窃取工行网上银行的“工行钓鱼木马”以及国内首例敲诈用户钱财的“敲诈者”病毒分别名列十大病毒第九、第十位。

　　江民2006年上半年病毒疫情报告指出，2006年上半年未发生重大的计算机病毒疫情，病毒仍然沿袭了2005年的总体特征，以盗号窃秘的木马病毒为主。2006年上半年病毒呈现的新特征还包括，僵尸网络病毒仍有发作，但较去年有所减弱，新发现的僵尸网络病毒传染性更强，综合利用了微软操作系统的多种漏洞。利用微软0day漏洞的WMF恶意代码1、2月份在网上传播较为广泛，多家网站被种植了该恶意代码。此外，通过QQ进行传播的Adware类病毒在上半年发作的病毒总数中占有较大比例，这跟QQ用户群广泛以及应用十分频繁有关，用户的安全意识薄弱，随意点击不明链接也是此类广告件频发的重要原因。2006年上半年，江民反病毒中心监测到国内首例通过隐藏电脑用户数据进行勒索钱财的敲诈病毒，虽然此类病毒在国外早有报道，但在国内尚属首次。

　　据江民科技反病毒中心统计，从2006年1月1日到2006年6月28日，反病毒中心共截获新病毒33358种，江民KV病毒预警中心显示，1至6月全国共有7322453台计算机感染了病毒，监测发现新老病毒发作次数总计178931441次（包括同台电脑同一病毒感染多种文件数）。

　　根据江民全球病毒监测网(国内部分)、江民病毒预警中心、客户服务中心等多个部门联合监测统计，综合病毒的破坏能力以及传播范围，江民反病毒中心公布了2006上半年度十大病毒排行：　　

2006年度上半年十大病毒排行

2006年上半年十大病毒比例图

　　2006年上半年十大病毒档案

　　一、“灰鸽子”

　　病毒名称：Backdoor/Huigezi

　　病毒中文名：“灰鸽子”

　　病毒类型：后门

　　危险级别：★

　　影响平台： Win 9X/ME/NT/2000/XP

　　描述：Backdoor/Huigezi.cm“灰鸽子”变种cm是一个未经授权远程访问用户计算机的后门。“灰鸽子”变种cm运行后，自我复制到系统目录下。修改注册表，实现开机自启。侦听黑客指令，记录键击，盗取用户机密信息，例如用户拨号上网口令，URL密码等。利用挂钩API函数隐藏自我，防止被查杀。另外，“灰鸽子”变种cm可下载并执行特定文件，发送用户机密信息给黑客等。

　　二、“传奇窃贼”

　　病毒名称：Trojan/PSW.LMir

　　病毒中文名：“传奇窃贼”

　　病毒类型：木马

　　危险级别：★

　　影响平台： Win 9x/2000/XP/NT/Me

　　描述：传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后，主程序文件自己复制到系统目录下。修改注册表，实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后，会自动重启。窃取“传奇2”帐号密码，并将盗取的信息发送给黑客。

　　三、“高波”

　　病毒名称：Backdoor/Agobot

　　病毒中文名：“高波”

　　病毒类型：后门

　　危险级别：★★

　　影响平台：Win 2000/XP/NT

　　描述：Backdoor/Agobot.aky “高波变种”aky是一个经UPX压缩，主要利用网络弱密码共享进行传播的后门程序。该后门程序还可利用微软DCOM RPC漏洞提升权限，允许黑客利用IRC通道远程进入用户计算机。该程序运行后，程序文件自我复制到系统目录下，并修改注册表，以实现程序的开机自启。开启黑客指定的TCP端口。连接黑客指定的IRC通道，侦听黑客指令。黑客通过该后门在用户计算机上可进行的操作有：安装并升级病毒程序；下载并运行指定文件；盗取用户系统信息并发送给作者等。利用程序自带的密码字典破解网络共享弱密码。盗取黑客所指定的多种游戏的序列号，终止某些防火墙及杀毒软件的进程。该程序可执行DoS攻击。

　　并列第三：“瑞波”

　　病毒名称：Backdoor/RBot.auv

　　病毒中文名：“瑞波”

　　病毒类型：后门

　　危险级别：★★

　　影响平台： Windows 2000/XP/2003

　　描述：该变种病毒经过多层压缩加密壳处理，可以利用多种系统漏洞进行传播，感染能力很强。中毒计算机将被黑客完全控制，成为"僵尸电脑"。由于此病毒会扫描感染目标，因此可以造成局域网拥堵，该网友反映的情况很有可能是中了“瑞波”病毒。

　　四、“CHM木马”

　　病毒名称：Exploit.MhtRedir

　　病毒中文名：“CHM木马”

　　病毒类型：木马、脚本

　　危险级别：★★

　　影响平台：Windows 98/ME/NT/2000/XP/2003

　　描述：

　　利用IE浏览器MHTML跨安全区脚本执行漏洞(MS03-014)的恶意网页脚本，

　　自从2003年以来，一直是国内最为流行的种植网页木马的恶意代码类型，

　　2005年下半年，泛滥趋势稍有减弱，2006年上半年的感染数量仍然很大，

　　没有短期内消亡的迹象。

　　五、“WMF漏洞利用者”

　　病毒名称：Exploit.MsWMF

　　病毒中文名：“WMF漏洞利用者”

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　描述： Exploit.MsWMF.a“WMF漏洞利用者”变种a是一个利用微软MS06-001漏洞进行传播的木马。如果用户使用未打补丁的Windows系统，在上网浏览、本地打开或预览恶意WMF文件时，自动下载网络上的其它病毒文件，侦听黑客指令，对用户计算机进行各种攻击。

　　六、“QQ大盗”

　　病毒名称：Trojan/QQPass

　　病毒中文名：“QQ大盗”

　　病毒类型：木马

　　危险级别：★

　　影响平台：Win9X/2000/XP/NT/Me

　　描述： Trojan/QQPass.ak是用Delphi编写并经UPX压缩的木马，用来窃取游戏"传奇"信息。

　　传播过程及特征：

　　1.创建下列文件：

　　%System%\winsocks.dll， 91136字节

　　%Windir%\intren0t.exe， 91136字节

　　2.修改注册表：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"Intren0t" = %Windir%\intren0t.exe

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

　　"Intren0t" = %Windir%\intren0t.exe

　　这样，在Windows启动时，病毒就可以自动执行。

　　注：%Windir%为变量，一般为C:\Windows 或 C:\Winnt；

　　%System%为变量，一般为C:\Windows\System (Windows 95/98/Me)， C:\Winnt\System32 (Windows NT/2000)，

　　或 C:\Windows\System32 (Windows XP)。

　　七、维京

　　病毒名称：Worm/Viking

　　病毒中文名：维京

　　病毒类型：蠕虫、木马

　　危险级别：★★★

　　影响平台：Windows 98/ME/NT/2000/XP/2003

　　描述：该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点，进入用户的电脑之后，它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中，窃取用户的网络游戏密码，严重时造成系统完全崩溃。该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点，进入用户的电脑之后，它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中，窃取用户的网络游戏密码，严重时造成系统完全崩溃。

　　八、“传华木马”

　　病毒名称：Trojan/PSW.Chuanhua

　　病毒中文名：“传华木马”

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Windows 98/ME/NT/2000/XP/2003

　　描述：

　　出自同一个木马制作组织“传华”的若干木马变种。“传华木马”主要以盗取QQ或网络游戏的帐号密码为目的，变种极多，感染了大量用户。

　　九、“工行钓鱼木马”

　　病毒名称：TrojanSpy.Banker.yy

　　病毒中文名：“工行钓鱼木马”

　　病毒类型：木马

　　危险级别：★★★

　　影响平台：Windows 98/ME/NT/2000/XP/2003

　　描述：这是一个十分狡猾的盗取网上银行密码的木马病毒。病毒运行后，在系统目录下生成svchost.exe文件，然后修改注册表启动项以使病毒文件随操作系统同时运行。

　　病毒运行后，会监视微软IE浏览器正在访问的网页，如果发现用户在工行网上银行个人银行登录页面上输入了帐号、密码，并进行了提交，就会弹出伪造的IE窗，内容如下： “为了给您提供更加优良的电子银行服务，6月25日我行对电子银行系统进行了升级。请您务必修改以上信息！”

　　病毒以此诱骗用户重新输入密码，并将窃取到的密码通过邮件发送到一个指定的163信箱。该病毒同时还会下载灰鸽子后门病毒，感染灰鸽子的用户系统将被黑客远程完全控制。

　　十、“敲诈者”

　　病毒名称：Trojan/Agent.bq

　　病毒中文名：“敲诈者”

　　病毒类型：木马

　　危险级别：★★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　描述：毒在本地磁盘根目录下建立一个属性为系统、隐藏和只读的备份文件夹，名为“控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”，同时搜索本地磁盘上的用户常用格式文档（包括.xls、.doc、.mdb、.ppt、wps、.zip、.rar），把搜索到的文件移动到上述备份文件夹中，造成用户常用文档丢失的假象。

　　2006年上半年中国（大陆）地区计算机病毒疫情报告

　　据江民反病毒中心监测统计，2006年上半年，病毒主要呈现以下特征：

　　一、木马仍然是病毒主流，变种层出不穷

　　2006年上半年，江民反病毒中心共截获新病毒33358种，另据江民病毒预警中心监测的数据显示，1至6月全国共有7322453台计算机感染了病毒，其中感染木马病毒电脑2384868台，占病毒感染电脑总数的32.56%，感染广告软件电脑1253918台，占病毒感染电脑总数的17.12%，感染后门程序电脑664589台，占病毒感染电脑总数的9.03%，蠕虫病毒216228台，占病毒感染电脑总数的2.95%，监测发现漏洞攻击代码感染181769台，占病毒感染电脑总数的2.48%，脚本病毒感染15152台，占病毒感染电脑总数的2.06%。

　　

2006年上半年大陆地区病毒发作种类分析

　　二、僵尸网络病毒大肆传播，但较去年呈下降趋势

　　虽然3月份江民反病毒中心监测到“瑞波”“高波”变种等BOT类仍然在网上大肆传播，但较2005年相比，僵尸网络无论在数量还是在规模上，都呈现下降趋势，但新发现的BOT病毒传播和感染能力比较强，综合利用了微软操作系统的多种漏洞。

　　3月2日，江民公司反病毒中心连续监测到“瑞波”“高波”病毒变种（Backdoor/RBot.auv）正在国内迅速蔓延。“瑞波”变种经过多层压缩加密壳处理，可以利用多种系统漏洞进行传播，感染能力很强。中毒计算机将被黑客完全控制，成为"僵尸电脑"。由于此病毒会扫描感染目标，因此可以造成局域网拥堵。病毒运行后，连接IRC服务器，接收并执行黑客设置的黑客命令，这些命令可能是任意文件操作、注册表操作、键盘记录、下载执行远程程序、任意网络操作等。病毒通过MS03-007、MS03-026、MS04-011、MS04-031等多种系统漏洞进行传播，感染能力很强。病毒传播过程中，会发送大量网络包，用于扫描局域网内存在漏洞的计算机，可以导致局域网拥堵甚至瘫痪。

　　“高波”（Worm_AgoBot）新变种常驻内存，利用系统多种漏洞和通过远程攻击弱密码系统进行主动传播，利用mIRC软件进行远程控制。蠕虫还会连接IRC服务器，接收并执行黑客命令，使被感染计算机成为“僵尸电脑”。

　　3月2日当天，江民病毒预警系统共收到近200例用户上报的“瑞波”病毒样本，截止到3月3日凌晨，江民病毒预警系统共收到584例“高波”变种上报样本，上报人数是“瑞波”的三倍。

　　三、灰色软件大肆传播，呈借力木马传播新特征

　　由于利益驱动，灰色软件（例如广告件、间谍软件）在2006年传播十分广泛，上半年江民KV病毒预警中心监测数量显示，在电脑用户感染数量较多的前10名病毒中，Adware类灰色软件占了5个，在整个发作病毒总数中占了8.01%的比例，数量十分惊人。灰色软件除了通过QQ进行群发带毒链接等途径传播外，还呈现了助借木马病毒进行传播的新特征。3月14日，江民反病毒中心监测到，六款恶意软件捆绑在“安哥”（TrojanDropper.Agent.we）变种身上在互联网大肆传播，六款恶意软件分别为：海啸广告秘书、NewWeb收藏入侵者（SCIntruder）、傲讯浏览器插件、IEHelper插件（从yiqilai.com上下载广告信息）、鸿联网盟插件，还有一个病毒作者自己写的广告弹出木马。

　　四、微软WMF 0day漏洞频遭利用，多家网站被种植木马

　　微软在2005年12月份被暴出存在WMF漏洞后，2006年1月和2月该漏洞频遭病毒利用。网上最多发现利用该漏洞的恶意代码200多种，春节前后，江民反病毒研究中心监测发现多家网站被种植此类木马病毒，与此同时，网上众多网站都在公开售卖WMF木马生成器。WMF木马除了在各存在漏洞的网站"挂马"传播外，还通过"QQ尾巴"病毒传播。病毒通过QQ向在线好友发送带有病毒链接的信息，用户一旦点击该链接就会中毒。

　　五、病毒呈现绑架电脑数据敲诈钱财新趋势

　　2006年6月份，江民反病毒中心监测到国内首例通过隐藏电脑用户数据进行勒索钱财的敲诈病毒，虽然此类病毒在国外早有报道，但在国内尚属首次。“敲诈者”病毒通过恶意隐藏电脑用户常用的文档，然后要求中毒者向某指定账户打入一定数额的人民币购买其所谓的“正版序列号”进行数据恢复。目前该病毒已经出现多个变种，而且病毒源代码也被公布在网上，江民反病毒中心接到多例用户举报感染该病毒的求助报告。

　　六、U盘成病毒传播新途径

　　U盘的广泛应用为病毒的传播提供了温床，由于众多电脑用户通过接入U盘进行电脑数据互换，许多人在接入电脑前没有进行病毒扫描，病毒开始瞄准了这一空档藏身其中，成为电脑数据的一大杀手。今年1月份上半月，江民反病毒研究中心接到来自不同地区的用户反映，他们电脑中DOC格式的WORD文件突然神秘失踪，奇怪的是，存放DOC文件的文件夹却仍然存在，而且其它类型的文档文件如电子表格XLS、幻灯片PPT等却没有异常。经江民反病毒中心分析，用户受害的原因系感染了一名为“WORD文档杀手”（Trojan/DelDoc）新病毒，该病毒一旦发作，可以将office用户的WORD文档逐个删除，所有windows版本用户无一幸免。此病毒还能自我加载到U盘的自动运行文件里，这样，一旦用户将感染了该病毒的U盘接入电脑，WORD文档杀手病毒就会自动运行，导致所有WORD文档神秘失踪。