根据江民全球病毒监测网(国内部分)、江民病毒预警中心、客户服务中心等多个部门联合监测统计,2006年1月到2006年12月,江民反病毒中心共截获新病毒60383种,较2005年增长56%,江民kv病毒预警中心显示,2006年全国共有19319658台计算机感染了病毒,感染计算机病毒66606种。
2006年十大病毒档案
1,病毒名称:worm/viking
变种数量: 520
累计感染计算机: 446450
累计感染文件: 36728393
病毒中文名:“威金蠕虫”
病毒类型:蠕虫
危险级别:★★★☆
影响平台:win2003/xp/2000/nt/9x/me
描述:威金蠕虫感染windows可执行文件,并会查找局域网中所有的共享计算机,尝试猜解它们的密码,试图感染这些计算机。该病毒还会自动在后台下载并窃取网络游戏玩家的账号和密码,并发送给黑客。同时,该病毒还会下载一个qq病毒,自动向用户的qq好友发送内容为“看看啊。我最近的照片~才扫描到qq相册上的!”的消息并附带一个网址,其他用户点击消息中的网址就可能被病毒感染。
2,病毒名称: backdoor/huigezi
变种数: 13379
累计感染计算机: 897592
累计上报次数: 6392600
病毒中文名:“灰鸽子后门”
病毒类型:后门
危险级别:★☆
影响平台: win 9x/me/nt/2000/xp/2003
描述:backdoor/huigezi.2006.ekr“灰鸽子2006”变种ekr是一个未经授权远程访问用户计算机的后门。“灰鸽子2006”变种ekr运行后,自我复制到系统目录下。修改注册表,实现开机自启。侦听黑客指令,记录键击,盗取用户机密信息(例如,拨号上网密码,url密码,共享密码)。另外,“灰鸽子2006”变种ekr还可以下载并执行特定文件,开启或关闭cd-rom等。
3,病毒名称:adware/qqhelper
变种数:1983
累计感染计算机: 1582345
累计上报次数: 4483989
病毒中文名:“多多qq表情”
病毒类型:间谍软件
危险级别:★★★☆
影响平台: win 9x/me/nt/2000/xp
描述:“qq多表情”变种是一个间谍广告软件,由vc++.net工具编写,随着qq多表情软件安装到用户电脑中,生成文件:c:windowssystem32res.exe该程序采用rootkit技术隐藏自身进程,会干扰ie的正常运行,使系统的的运行速度变慢。
4,病毒名称:trojan/psw.qqpass
变种数: 1414
累计感染计算机: 615901
累计上报次数: 4580158
病毒中文名:“qq盗号木马”
病毒类型:木马
危险级别:★
影响平台:win9x/2000/xp/nt/me
描述: trojan/qqpass.ak是用delphi编写并经upx压缩的木马,用来窃取游戏传奇信息。
传播过程及特征:
1.创建下列文件:
%system%winsocks.dll, 91136字节
%windir%intren0t.exe, 91136字节
2.修改注册表:
[hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun]
intren0t = %windir%intren0t.exe
[hkey_local_machinesoftwaremicrosoftwindowscurrentversionrunservices]
intren0t = %windir%intren0t.exe
这样,在windows启动时,病毒就可以自动执行。
注:%windir%为变量,一般为c:windows或 c:winnt;
%system%为变量,一般为c:windowssystem (windows 95/98/me), c:winntsystem32 (windows nt/2000),
或c:windowssystem32 (windows xp)。
5,病毒名称: trojan/psw.lmir
变种数: 1896
累计感染计算机: 739169
累计上报次数: 4033649
病毒中文名:“传奇窃贼”
病毒类型:木马
危险级别:★
影响平台: win 9x/2000/xp/nt/me
描述:传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后,主程序文件自己复制到系统目录下。修改注册表,实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后,会自动重启。窃取“传奇2”帐号密码,并将盗取的信息发送给黑客。
6,病毒名称:adware/adload (埃得罗)
变种数量: 535
累计感染计算机: 433920
累计上报次数: 1288152
病毒中文名:“埃得罗”
病毒类型:木马
危险级别:★☆
影响平台:win2003/xp/2000/nt/9x/me
描述:这是一个广告程序,该病毒在目标系统中生成病毒文件。%system%inituser.exe运行时将资源段中的代码注入explorer.exe。该病毒尝试下载其他文件,并会收集客户机的信息。
7,病毒名称:trojan/psw.gamepass
变种数量: 510
累计感染计算机: 157846
累计上报次数: 1095735
病毒中文名:“落雪木马”
病毒类型:木马
危险级别:★☆
影响平台:win2003/xp/2000/nt/9x/me
描述:“落雪”木马也叫“游戏大盗”,由vb程序语言编写,通过nspack 3.1加壳处理(即通常所说的“北斗壳”north star),该木马文件图标一般是红色的图案,伪装成网络游戏的登陆器。病毒运行后,在c盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件,病毒文件之多比较少见,,事实上这14个不同文件名的病毒文件系同一种文件。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了.com。这是病毒利用了windows操作系统执行.com文件的优先级比exe文件高的特性,这样,当用户调用系统配置文件msconfig.exe的时候,一般习惯上输入msconfig,而这是执行的并不是微软的msconfig.exe程序,而是病毒文件msconfig.com ,病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把winlogon.exe的路径指向c:windowswinlogon.exe,而正常的系统进程路径是c:windowssystem32 winlogon.exe,以此达到迷惑用户的目的。除了在c盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击html文件时,都会运行病毒。此外,病毒还在d盘下生成一个自动运行批处理文件,这样即使c盘目录下的病毒文件被清除,当用户打开d盘时,病毒仍然被激活运行。
8,病毒名称: trojanspy.banker
变种数: 210
累计感染计算机: 42838
累计上报次数: 864276
病毒中文名:“工行钓鱼木马”
病毒类型:木马
危险级别:★★★
影响平台:windows 98/me/nt/2000/xp/2003
描述:这是一个十分狡猾的盗取网上银行密码的木马病毒。病毒运行后,在系统目录下生成svchost.exe文件,然后修改注册表启动项以使病毒文件随操作系统同时运行。病毒运行后,会监视微软ie浏览器正在访问的网页,如果发现用户在工行网上银行个人银行登录页面上输入了帐号、密码,并进行了提交,就会弹出伪造的ie窗,内容如下: “为了给您提供更加优良的电子银行服务,6月25日我行对电子银行系统进行了升级。请您务必修改以上信息!”病毒以此诱骗用户重新输入密码,并将窃取到的密码通过邮件发送到一个指定的163信箱。该病毒同时还会下载灰鸽子后门病毒,感染灰鸽子的用户系统将被黑客远程完全控制。
9,病毒名称:backdoor/hookssdt
变种数量: 35
累计感染计算机: 123404
累计上报次数: 196468
病毒中文名:“隐形门”
病毒类型:后门
危险级别:★★
影响平台:win2003/xp/2000/nt/9x/me
描述:backdoor/hookssdt.b“隐形门”可开启用户计算机的后门,篡改windows系统文件,导致任务管理器等一些程序显示错误信息。利用rootkit隐藏自我,防止被查杀。
10,病毒名称: i-worm/warezov
变种数量: 633
累计感染计算机: 20351
累计上报次数: 227240
病毒中文名:“龌龊虫”
病毒类型:蠕虫
危险级别:★★
影响平台:win 9x/me/nt/2000/xp/2003
描述:i-worm/warezov.ja“龌龊虫”变种ja是一个利用群发带毒邮件进行传播的网络蠕虫。“龌龊虫”变种ja运行后,自我复制到系统目录下,文件名由10个任意字母组成,后缀是.exe。弹出虚假升级成功信息框。修改注册表,实现开机自启。在windows目录下释放病毒文件。强行篡改ie浏览器设置,连接指定站点,下载病毒文件。从被感染计算机上搜索有效邮箱地址,群发带毒邮件。
此外,2006年计算机病毒还呈现出以下六大特征:
一、经济利益驱使计算机病毒技术不断突破
“经济利益”成为目前病毒制造者不断追求技术突破的源动力,受此利益驱使,2006年电脑病毒的感染率呈爆炸式增长,网络经济犯罪率不断增加,病毒的绝大部份变化都是围绕此中心展开的。而且病毒制造者已经不仅仅是玩技术的“黑客”,已经演变成有经济基础,有组织,有目的的网络攻击,从而网络犯罪率急剧攀升,一个职业网上经济盗窃行业悄悄地诞生,有人偷窥别人隐私,盗取别人的银行帐号、密码,有人想获取免费的游戏装备,有人偷取别人的qq帐号,q币,有人想提高网站流量,捆绑强制安装,无法卸载……,在巨大的经济利益诱惑下,病毒制造者的技术力量也有了飞跃式的发展。
rootkit隐藏技术以及对抗杀毒软件技术被广泛应用。“灰鸽子”及其变种使用rootkit技术自我隐藏,包括病毒文件、注册表键值等等都可以被隐藏,普通用户很难发现。“威金”病毒、“落雪”木马及其变种全部具有对抗反病毒软件的功能,能终止多款国内外知名的杀毒软件。除此之外,2006年传播十分广泛的流氓软件技术也不断升级,这些软件为了牟利,已经不仅仅局限于使用小程序,还借助木马病毒进行传播。
2006年被江民反病毒中心率先截获的国内首例敲诈病毒,通过隐藏用户硬盘数据造成造成用户数据“丢失”的假象,敲诈用户的钱财,给中毒电脑用户带来巨大的精神和财产损失,可见病毒制造者的牟利目的已经十分明显。
二、微软0day漏洞频繁爆出引发病毒攻击
2006年微软总共发布安全补丁数量达到78个,创下了新记录,比2002年的72个还多6个,其中“oday”攻击漏洞成为主要的增长点。 2006年春节前后,早在2005年12月份就被曝光的wmf漏洞成2006年电脑安全第一场噩梦。 2006年12月28日,江民反病毒中心监测到,windows在处理特殊wmf文件(也就是图元文件)时存在问题,可以导致远程代码执行,如果用户使用windows图片传真查看程序打开恶意wmf文件,甚至在资源管理器中预览恶意wmf时,也都存在代码执行漏洞。2006年8月13日,江民公司反病毒中心发布紧急病毒警报,一利用微软5天前刚刚发布的ms06-040漏洞传播的“魔鬼波”(backdoor/mocbot.b)蠕虫现身互联网,感染该蠕虫的计算机将被黑客远程完全控制。8月24日, “瑞波”(backdoor/rbot)蠕虫新变种同样利用微软的ms06-040等多种系统漏洞大肆传播。微软0day漏洞成为病毒制造者的乐园。
三、网银病毒迅猛增长两年增600倍
从2004年8月到2006年10月期间,全国感染各类网银木马及其变种的用户数量增长了600倍,用户每月感染病毒及其变种的数量约有160种左右,而且病毒发展正在呈加速上升趋势。江民反病毒专家介绍,2004年全国被网银木马感染的计算机数量只有60台,2005年为1100台,而在2006年前10个月,已经有超过37000台电脑感染过网银木马,3年时间国内用户被网银木马感染的数量增长了600倍。
四、病毒传播呈现新特征,锁定目标定向传播
病毒的传播不再是盲目的、无目的的传播,而是针对可能获取利益的群体进行定向传播。比如06年的光大证券被挂网银木马事件,网银在线被挂黑洞病毒事件,病毒制造者的目标都对准了那些股民以及经常使用网上银行的用户。其它象盗取网络游戏的木马一般在网络游戏论坛、游戏中、外挂网站等处进行传播,或通过攻陷相关网站在网页挂马,或发布带毒帖子和链接,或者发布带病毒的游戏外挂。
五、病毒变种快、更新快、存活能力强
2006年各种木马病毒变种都非常多,老木马“灰鸽子”,几乎每天都会有10多个不同的变种,迄今为止共出现了13379种变种。而在江民科技的样本上报系统中,威金病毒最多一天竟然有292个不同的变种。
2006年,很多木马都具有自升级功能,可以迅速的在较短的时间内更新自身,防止被杀病毒软件查杀。更多的木马采用传统病毒的感染文件技术,甚至可以定向感染极少数的正常程序,使得即便自身被杀,仍然有机会死灰复燃。
六、智能手机成病毒的下一个攻击目标
随着智能手机的普及,利用智能手机上网浏览、下载彩铃、彩信、看电影的用户越来越多,应用的普及不可避免地带来安全隐患,据一项调查显示,2006年智能手机用户数量近4000万左右,而手机病毒也增长了450%。智能手机已经具备了与电脑几乎同样的功能,完全可以满足普通用户的日常应用需求,而智能手机丰富的通讯和数据交换功能也为病毒传播提供了可能,红外、蓝牙等无线技术为病毒传播提供了捷径,手机存储卡的应用及容量的不断增大为病毒提供了生存空间。彩信、彩玲、e-mail等都可能成为病毒的载体。2006年被截获的手机病毒预示着反病毒的下一个战场必将是智能手机和手持互联网终端设备。
