2004年上半年十大病毒

可可

日前根据数十名反病毒专家半年来的反病毒研究成果，从病毒的发作数量、危害程度综合考虑，总结并发布了2004年上半年十大病毒及病毒发展趋势报告。

　　震荡波在五一期间大面积发威，感染了数十万台电脑，其感染数量、危害程度综合毒性名列首位，成为2004年上半年“毒王”。

　　“网络天空”从年初至今，一直是蠕虫病毒中最活跃分子，从监测到的数字看，该病毒及其变种发送的带毒邮件，一直包揽病毒发现数量前十名，但由于其危害性不及震荡波，因此屈居第二。

　　“网银大盗”以其潜在的巨大危害位列第三，虽然至今有证可查的失窃资金仅有4.8万元,但病毒的矛头直指我国方兴未艾的网上银行,其意图是想窃取我国网上银行亿万资金，其用心最为歹毒。

　　2004年上半年10大病毒排行

　　序号　病毒中文名　英文名　类型　感染系统

　　1 震荡波及变种 I-Worm/Sasser 蠕虫 Win2000/XP

　　2 网络天空及变种 I-Worm/NetSky 蠕虫 Win9X/2000/XP/NT/Me/2003

　　3 网银大盗及变种 Trojan/PSW.HidWebmon 木马 Win9X/2000/XP/NT/Me/2003

　　　网银大II Trojan/KeyLog.Dingxa 木马 Win9X/2000/XP/NT/Me/2003

　　　网银大盗III TrojanSpy.Elelist 木马 Win9X/2000/XP/NT/Me/2003

　　4 挪威客及变种 I-Worm/Novarg或I-Worm/Mydoom 蠕虫 Win9X/2000/XP/NT/Me/2003

　　5 雏鹰及变种 I-Worm/BBEagle 蠕虫 Win9X/2000/XP/NT/Me/2003

　　6 超级密码007及变种 I-Worm/Supkp 蠕虫 Win9X/2000/XP/NT/Me

　　7 好大病毒及变种 I-Worm/Sobig 蠕虫 Win9X/2000/XP/NT/Me

　　8 冲击波杀手及其变种 I-worm/chian 蠕虫 Windows 2000、Windows XP

　　9 求职信及变种 I-Worm/Klez Win32/Foroux。 文件型 Win9X/2000/NT/Me

　　10 WYX.B引导区病毒 PolyBoot（WYX.B） 引导区 Win3X/9X/2000/XP/NT/Me/2003

　　2004年上半年病毒发展趋势

　　2004年对于电脑使用者来讲是个病毒多发年，短短半年时间就出现了“震荡波、网银大盗、网络天空、雏鹰、挪威客”多个重大病毒，其爆发之快、传播之广、变种之频繁都要超过以往。综合比较2004年上半年与2003年病毒发作情况发现，病毒发展出现以下趋势。

　　本土化发展趋势明显：

　　从2004年上半年的六个月来看，计算机病毒开始向本土化趋势发展。电脑病毒最初产生在国外，直到90年代初才出现了本土病毒，但是在很长时间里，本土病毒都没有广泛发展起来，很难在病毒排行榜上占居一席之地。然而从今年年初的“桃色陷阱”、“武汉男生”、“盗号王”来看，本土病毒的爆发几率和破坏强度都有所增强，其中，QQ病毒“武汉男生”从去年出现至今，几乎每周都有变种产生。最新截获的本土病毒“密码张”以及“密蜂大盗”更极尽盗号之能事，不但能盗几乎所有类型的密码，还能远程监控，打开中毒用户的摄像头，偷拍照片等。

　　木马类间谍软件和QQ病毒、网络游戏病毒成为热点：

　　从2004年上半年的病毒情况来看，病毒更多的表现出盗窃特性。新年伊始，电脑病毒就开始将破坏重点从单纯的破坏系统文件转移到盗取用户卡号、密码等隐私信息上。今年4月份云南一网吧传出80余台电脑网络游戏账号一夜全部被盗事件，紧接着网银大盗突现网络，能够轻松绕过某银行网上银行系统的安全插件，盗窃用户银行卡账号及密码，数千亿资产岌岌可危。正当人们庆幸网银大盗作者落网的同时，一个更加疯狂的网银大盗Ⅱ病毒木马惊现网络，几乎所有网上银行的用户成为病毒侵害的目标。

　　对2003年和2004年前5个月的截获及发现的病毒、木马、黑客程序进行了分析，2003年所截获的各类病毒中，木马占全年截获病毒总数的32.24%，而到了2004年，根据前5个月的统计，这一比例达到36%，也就是说，2004年前5个月的木马在所发现的各类病毒数量中的百分比数比2003年高出了3.87个百分点（见图1）；


统计结果还表明，在所发现的木马类中，窃取银行账号、信用卡、游戏账号、邮箱账号等偷窃个人信息性质的木马数量有快速增长趋势，其中2003年发现此类木马占所发现木马类的9.75%， 2004年前5个月发现次类木马占所发现木马类的13.74%，增长了3.99个百分比点（见图2）。




　　木马病毒发展的原因有以下几点：电脑和数据的发展，人们越来越倚重于网络和数据，将许多隐私信息都保存到电脑及网络上，这是促使网络犯罪的主要原因；对于病毒作者来说盗取隐私和网上财富可以获得更多实惠，同时也可以满足他们的好奇心理和叛逆心理；许多病毒作者都是青少年，盗取隐私很多是为了发泄和冒险。

　　从盗取游戏中虚拟财富到盗取个人银行实际财产，从“密码结巴”和“传奇木马”等木马程序到“邮米变种J” 到“网银大盗”，明显看出，进入2004年后，更多病毒制造者已不再满足游戏账号的盗取，经过尝试盗取信用卡的试探后，充分利用各种各样的技术、系统漏洞，试图用欺骗手段，偷窃电脑用户的银行账号和其它机密信息（如游戏的账号、虚拟装备等），病毒的牟利特征十分明显。

　　变种多：

　　变种频繁是今年病毒的显著特点，以“网络天空”为例目前已经有数十种，并且还有继续变种倾向。2004年1月19日，“雏鹰” 蠕虫病毒首次被截获，也出现数十个变种，病毒变种首次耗尽了26个字母，而不得不以I-Worm/BBEagle.ab的形式加以标别。病毒每次变种都是为了躲避专杀工具和更大范围的传播，频繁变种证明了该病毒的顽固性，以网络天空为例，从年初爆发持续到现在至少有5个月了。

　　病毒变种繁多的主要对策就是要不断升级杀毒软件的病毒库，对于普通用户需要作好两件事，一是提高病毒防范意识积极上报新病毒，一是注意每天升级自己的杀毒软件。

　　传播快：

　　病毒的发展一个突出特点是传播速度越来越快。这与网络和宽带的发展有直接关系。传播速度快带来的直接后果就是病毒危害的可能性加大。

　　传播速度快的主要原因是网络和宽带的发展以及病毒“免疫”能力的加强。病毒的传播速度加快就要求反病毒厂家加速自己的研发水平和反应机制的应变能力和反应速度。

　　2004年上半年病毒的发展给我们敲响了警钟，如何从源头上遏制本土病毒的进一步蔓延，打击利用木马类病毒盗窃各种网络隐私的犯罪，成为反病毒厂商和整个社会都将面对的现实问题（完）

可可

2004年上半年十大病毒资料

　　1、“震荡波”及变种（I-Worm/Sasser）

　　2004年5月1日首次被截获以来，在短短几天席卷全球电脑用户，12天之内接连出现6个变种。“震荡波”由18岁的德国少年斯文·扬森编写，该病毒跟2003年的“冲击波”病毒非常类似，同属于的网络蠕虫，感染Windows 2000、Windows Server 2003、Windows XP系统，它是利用微软的MS04-011漏洞，通过互联网进行传播，但不通过邮件传播。蠕虫能自动在网络上搜索含有漏洞的系统，在含有漏洞的系统的TCP端口5554建立FTP文件服务器，自动创建FTP脚本文件，并运行该脚本，该脚本能自动引导被感染的机器下载执行蠕虫程序，用户一旦感染后，病毒将从TCP的1068端口开始搜寻可能传播的IP地址，系统将开启上百个线程去攻击他人，造成计算机运行异常缓慢、网络不畅通，并让系统不停的进行重新启动。

　　2、“网络天空” 及变种（I-Worm/NetSky）

　　2004年2月19日首次截获I-Worm/NetSky.b，“网络天空” （I-Worm/NetSky）及变种均通过网络传播的蠕虫，感染病毒后，病毒首先在Windir创建自身文件，有时还会在共享文件夹中生成自身拷贝，并修改注册表启动项，使病毒在Windows启动时就得以运行，甚至会试图删除多个重要的注册表键值，达到影响系统运行的目的。该病毒在感染计算机的硬盘和网络映射驱动器上搜索电子邮件地址，利用其自带的SMTP引擎通过发送电子邮件传播。带毒电子邮件的主题、内容和附件名称随机变化，根据收信人邮件地址的域名，使用包括英语、法语、意大利语等共9种不同语言。病毒在被感染计算机上打开后门端口，接收并运行黑客发送的任何程序文件并会在特定期间对某些网站发动拒绝服务（DoS）攻击。该病毒的表现形式也非常跟踪潮流，它通过网络的邮件来传播，甚至充当震荡波变种b的专杀工具。同时也还能伪装成一些非常流行的病毒的专杀工具，它们是大名鼎鼎的：冲击波、MYDOOM、雏鹰等网络蠕虫。

　　3、网银大盗 (Trojan/PSW.HidWebmon) 、“网银大盗Ⅱ”“ 网银大盗Ⅲ”

　　2004年4月18日，19日，江民反病毒中心接连截获“网银大盗”（Trojan/PSW.HidWebmon.a）木马及变种Trojan/PSW.HidWebmon.b。该木马偷取中国工商银行个人网上银行的帐号和密码。用户电脑感染木马后，木马首先在 用户计算机中创建expl0er.exe本身文件，还创建expl0er.dll挂钩和发信模块dll文件，并修改注册表，木马在系统启动时就可以运行。病毒运行后会调用expl0er.dll，设置消息挂钩。Expl0er.dll和病毒主程序之间通过一块共享内存交换数据。病毒主程序开启2个计时器，计时器1每隔3秒钟检查是否有常用反病毒和防火墙软件运行，一旦发现则立即终止这些进程，同时还自动回写病毒注册表项和病毒文件。计时器2每隔0.5秒搜索用户的IE窗口，如果发现用户正在“个人网上银行”的登陆界面，则尝试窃取注册卡号和密码。一旦成功，就把窃取到的信息保存到共享内存中。Expl0er.dll被设置成消息挂钩后，用户对窗口的任何操作都会激活病毒代码。它将尝试连接某网站，用以判断当前网络是否接通。如果连接成功，就会把共享内存中保存的用户帐号和密码通过电子邮件发送给病毒作者。

　　“网银大盗Ⅱ” （Trojan/KeyLog.Dingxa）

　　2004年6月2日，江民反病毒中心截获“网银大盗Ⅱ” （Trojan/KeyLog.Dingxa）木马，该木马盗取包括工商银行、招商银行、建设银行、交通银行、深圳发展银行、民生银行、华夏银行、上海银行等8个银行及首都电子商城、中国在线支付网、银联支付网关等三家网上支付机构的帐号、密码、验证码等。木马在用户感染的电脑里只创建svch0st.exe本身文件，同时修改注册表，木马在系统启动时就可以运行。木马运行后，将开启3个定时器，第一个定时器每隔10毫秒检查一次用户是否正在使用涉及到的银行“个人网上银行”的登陆界面，第二个定时器则记录用户键入的所有键盘记录。第三个定时器每隔60秒搜索一次记录数据，然后把窃取到的信息以get方式发送到指定的http://*****.com/****/get.asp。

　　“网银大盗Ⅲ”（TrojanSpy.Elelist）

　　2004年6月8日，江民反病毒中心率先截获 “网银大盗Ⅲ”（TrojanSpy.Elelist）木马。该木马偷取包括英国汇丰银行(HSBC)、英国爱格银行(Egg)、英国哈里费克斯银行(Halifax)、英国巴克莱银行(Barclays)、英国国家西斯敏斯特银行(National Westminster)、英国苏格兰皇家银行(Royal Bank of Scotland)、英国劳埃德银行(Lloyd)、西班牙联邦储蓄银行(la Caixa)等8家著名国外银行网上银行的帐号和密码。用户电脑感染“网银大盗Ⅲ” 木马后，木马会创建user32.exe木马本身在内的三个文件，同时修改注册表，木马运行后，自动对IE页面控件进行监视，并记录用户在上述8家个人银行网站进行的各种IE控件操作，每隔1秒就会检查记录文件是否存在，并通过电子邮件把盗取信息发送到俄罗斯的免费个人信箱1list@mail.ru。

　　4、“挪威客” 及变种（I-Worm/Novarg，又名I-Worm/Mydoom）

　　2004年1月27日，首次被截获“挪威客”（I-WORM/Novarg后为I-Worm/Mydoom）蠕虫病毒，感染病毒后，病毒在Windows目录下生成自身的拷贝，使用Word的图标，并在共享文件夹中生成自身拷贝，病毒修改注册表项，使得自身能够在系统启动时自动运行。病毒运行后随机删除从C到Z的所有驱动器中以.mdb .doc .xls .sav .jpg .avi .bmp为后缀名的文件，并在删除文件夹下生成.ZIP为后缀的病毒体。蠕虫程序利用自身的SMTP引擎，搜索有效的邮件地址，发送自身，发送蠕虫的邮件的主题、发件人、甚至附件的名称等都是随机变化的，病毒本身是一个可执行文件，可能包含在一个ZIP压缩包里。计算机感染病毒后，会设置后门，开放TCP 端口，允许攻击者连接此计算机并利用一个代理获得访问网络资源的权限，后门程序还可以下载和执行任意的文件。该蠕虫还有可能通过Kazza共享程序来传播自身。

　　5、“雏鹰” 及变种（I-Worm/BBEagle）

　　2004年1月19日，“雏鹰” 蠕虫病毒首次被截获，有趣的是，在后期的变种中，“雏鹰”病毒作者和“网络天空”病毒作者互相指责对方盗窃了其病毒源代码，在向外传播的时候也不忘骂上几句，甚至变种I-Worm/BBEagle.o如果发现用户计算机已经感染了“网络天空”病毒，会自动将之清除。
该病毒利用电子邮件、文件共享软件（如Kazza, iMesh）、后门进行传播，感染病毒后，病毒将自身复制到名字包含“shar”字样的文件夹中，并把自己重命名，把自己的伪装为计算器、电子表格文件、钟表、文本文件、看图、播放、办公等类似的图标，在感染每个新文件时进行变形，使查杀难度增加。修改注册表键值，使自身可以在系统启动时运行，病毒运行后，搜索用户系统内所有合法电子邮件地址，并使用的自带的SMTP向这些地址发送带毒的电子邮件，其伪造的发信人地址和收信用户的邮件地址具有相同的域名称，以加密压缩包的形式，将自身隐藏在邮件附件中向外疯狂传播，更具欺骗性。病毒同时具有后门能力，在TCP端口2745打开后门，把在后门监听到的端口和IP地址发送给攻击者。后期变种病毒尝试结束绝大多数国外杀毒软件、防火墙、常用监控程序和某些病毒进程。

　　6、超级密码007及变种（I-Worm/Supkp）

　　2003年8月，“超级密码007” 蠕虫病毒首次被截获，I-Worm/Supkp("超级密码杀手007"病毒)是一个集蠕虫程序、后门程序、黑客程序于一身的病毒。江民公司已截获该病毒的许多变种。该病毒利用ipc进行guest和Administrator帐号的简单密码探测，如果成功,将尝试将自己复制到远程系统并试图注册成服务。它会修改系统注册表的关联部分，使得系统对纯文本的操作就能激活该网络蠕虫。病毒可以释放出后门程序，还可以盗取用户密码,并发送到指个邮箱。

　　7、好大病毒及变种（I-Worm/Sobig）

　　2003年5月，“好大网络” 蠕虫病毒首次被截获， I-Worm/Sobig（"好大"病毒）至今已出现五种以上的变种，I-Worm/Sobig系列的蠕虫病毒均可以自动搜索邮件地址，所有可能包含邮件地址的wab、dbx、htm和html、eml、txt格式的文件都在其搜索之列，然后疯狂向找到的Email地址发送含有该蠕虫的信件。邮件地址的发送人都是写假装的地址、不要真的以为是那些人发送给您的该网络蠕虫。发送邮件的地址有的甚至被设为雅虎的技术支持信箱support@yahoo.com。此外该病毒也可以搜索可写的网络邻居上的机器的目录，将自身拷贝到该目录下。

　　8、冲击波杀手 （I-Worm/Chian）

　　2003年8月18日，“冲击波杀手” 蠕虫病毒首次被截获，冲击波杀手病毒通过向网络发送大量的数据包，对特定IP段进行疯狂扫描，如果发现冲击波病毒，即将其删除，并立刻登录微软网站下载RPC漏洞补丁。该病毒是病毒炮制者利用一种黑客程序改编而成，虽然病毒炮制者的初衷是为了反"冲击波"病毒，但却造成了系统不稳定运行、重新启动、死机等，使网络流量剧增，最终导致许多网络瘫痪的后果。病毒长度是10240字节，截获的文件名称：dllhost.exe，感染系统：Windows XP和Windows 2000 ，传播途径：利用微软的多重漏洞。

　　9、“求职信”及其变种（I-Worm/Klez和Win32/Foroux）
　
　　求职信”（Worm_klez）病毒第一次出现在2001年8月。主要传染Windows9x/me、Windows NT、Windows 2000。该病毒破坏性强，传播速度快，并且有多个变种。主要通过电子邮件和网络共享传播，也可以感染系统文件。病毒有能力破坏所有的电脑文件，从.TXT文本，到Excel电子表格、图片，它不是简单的删除电脑文件，而是用垃圾数据进行覆盖，以致于不大可能对文件进行恢复操作。Worm_klez使用WAB文件来获取EMail地址，使用内在的SMTP引擎来发送EMail。邮件内容是HTML，Klez用IFRAME漏洞在受害者的电脑上来执行自己，而不需要用户运行附件。

　　10、PolyBoot（WYX.B）

　　PolyBoot （也叫WYX.B）是一种典型的感染主引导扇区和第一硬盘DOS引导区的内存驻留型和加密引导型病毒。这种感染方式与一般的引导型病毒是不太一样的。它也能感染软盘的引导区。这种病毒会把最初的引导区储存在不同位置，这取决于它是DBR、MBR还是软盘的引导区。它不会感染和破坏任何文件，但一旦发作，WYX.b发作后会将主引导区搬家移位至61扇区，并用一个错误的引导区或是乱码来覆盖0扇区，这样就会使硬盘所有的分区及数据丢失。感染对象可以是任何的平台包括：Windows,Unix,Linux,Macintosh等。

可可

看看你爱机中了几个^_^

saintom

文章好啊！！对于现在的流行病毒分析的非常透彻！！！！