在 江民公司2008年度截獲的所有病毒中，網(wǎng)游盜號(hào)類病毒最為猖獗,"網(wǎng)游竊賊""網(wǎng)游大盜"病毒分別占據(jù)十大病毒第一、二名，而在病毒感染計(jì)算機(jī)臺(tái)數(shù)前 20名病毒中,網(wǎng)絡(luò)游戲盜號(hào)木馬占了10個(gè)席位,上千萬臺(tái)電腦被此類病毒感染。 "網(wǎng)游竊賊"病毒以壓倒其它病毒的絕對(duì)優(yōu)勢(shì)一舉成為2008年度"毒王"，而去年的"毒王""U盤寄生蟲"則下降到第四位。

      2008年度十大計(jì)算機(jī)病毒檔案：
      （1） "網(wǎng)游竊賊"及其變種
      病毒名稱：Trojan/PSW.OnLineGames
      中 文 名：網(wǎng)游竊賊
      病毒類型：木馬
      危險(xiǎn)級(jí)別：★
      影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
      描 述：Trojan/PSW.OnLineGames"網(wǎng)游竊賊"是一個(gè)盜取網(wǎng)絡(luò)游戲帳號(hào)的木馬程序，會(huì)在被感染計(jì)算機(jī)系統(tǒng)的后臺(tái)秘密監(jiān)視用戶運(yùn)行的所有應(yīng) 用程序窗口標(biāo)題，然后利用鍵盤鉤子、內(nèi)存截取或封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲帳號(hào)、游戲密碼、所在區(qū)服、角色等級(jí)、金錢數(shù)量、倉庫密碼等信息資 料，并在后臺(tái)將盜取的所有玩家信息資料發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)上。致使網(wǎng)絡(luò)游戲玩家的游戲帳號(hào)、裝備物品、金錢等丟失，會(huì)給游戲玩家?guī)ゲ煌潭?的損失。 "網(wǎng)游竊賊"會(huì)通過在被感染計(jì)算機(jī)系統(tǒng)注冊(cè)表中添加啟動(dòng)項(xiàng)的方式，來實(shí)現(xiàn)木馬開機(jī)自啟動(dòng)。

      （2） "網(wǎng)游大盜"及其變種
      病毒名稱：Trojan/PSW.GamePass
      中 文 名：網(wǎng)游大盜
      病毒類型：木馬
      危險(xiǎn)級(jí)別：★
      影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
      描 述：Trojan/PSW.GamePass"網(wǎng)游大盜"是一個(gè)盜取網(wǎng)絡(luò)游戲帳號(hào)的木馬程序，會(huì)在被感染計(jì)算機(jī)系統(tǒng)的后臺(tái)秘密監(jiān)視用戶運(yùn)行的所有應(yīng)用程序 窗口標(biāo)題，然后利用鍵盤鉤子、內(nèi)存截取或封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲帳號(hào)、游戲密碼、所在區(qū)服、角色等級(jí)、金錢數(shù)量、倉庫密碼等信息資料，并在 后臺(tái)將盜取的所有玩家信息資料發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)上。致使網(wǎng)絡(luò)游戲玩家的游戲帳號(hào)、裝備物品、金錢等丟失，會(huì)給游戲玩家?guī)ゲ煌潭鹊膿p失。 "網(wǎng)游大盜"會(huì)通過在被感染計(jì)算機(jī)系統(tǒng)注冊(cè)表中添加啟動(dòng)項(xiàng)的方式，來實(shí)現(xiàn)木馬開機(jī)自啟動(dòng)。

      （3） "代理木馬"及其變種
      病毒名稱：Trojan/Agent
      中 文 名：代理木馬
      病毒類型：木馬
      危險(xiǎn)級(jí)別：★★
      影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
描 述：Trojan/Agent"代理木馬"是木馬家族的最新成員之一，采用高級(jí)語言編寫，并經(jīng)過加殼保護(hù)處理。"代理木馬"運(yùn)行后，會(huì)自我復(fù)制到被感染計(jì) 算機(jī)系統(tǒng)中的指定目錄下，修改注冊(cè)表，實(shí)現(xiàn)開機(jī)自啟。在被感染計(jì)算機(jī)的后臺(tái)秘密竊取用戶所使用系統(tǒng)的配置信息，然后從駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)下載其它惡 意程序并安裝調(diào)用運(yùn)行。其中，所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號(hào)木馬、遠(yuǎn)程控制后門和惡意廣告程序等等，會(huì)給用戶帶去不同程度的損失。

      （4） "U盤寄生蟲"及其變種
      病毒名稱：Checker/Autorun
      中 文 名：U盤寄生蟲
      病毒類型：蠕蟲
      危險(xiǎn)級(jí)別：★★
      影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
      描 述：Checker/Autorun"U盤寄生蟲"是一個(gè)利用U盤等移動(dòng)存儲(chǔ)設(shè)備進(jìn)行自我傳播的蠕蟲病毒。"U盤寄生蟲" 運(yùn)行后，會(huì)自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的指定目錄下，并重新命名保存。"U盤寄生蟲"會(huì)在被感染計(jì)算機(jī)系統(tǒng)中的所有磁盤根目錄下創(chuàng) 建"autorun.inf"文件和蠕蟲病毒主程序體，來實(shí)現(xiàn)用戶雙擊盤符而啟動(dòng)運(yùn)行"U盤寄生蟲"蠕蟲病毒主程序體的目的。"U盤寄生蟲"還具有利用U 盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備進(jìn)行自我傳播的功能。"U盤寄生蟲"運(yùn)行時(shí)，可能會(huì)在被感染計(jì)算機(jī)系統(tǒng)中定時(shí)彈出惡意廣告網(wǎng)頁，或是下載其它惡意程序到被感染 計(jì)算機(jī)系統(tǒng)中并調(diào)用安裝運(yùn)行，會(huì)被用戶帶去不同程度的損失。"U盤寄生蟲" 會(huì)通過在被感染計(jì)算機(jī)系統(tǒng)注冊(cè)表中添加啟動(dòng)項(xiàng)的方式，來實(shí)現(xiàn)蠕蟲開機(jī)自啟動(dòng)。

      （5） "灰鴿子"及其變種
      病毒名稱：Backdoor/Huigezi
      中 文 名：灰鴿子
      病毒類型：后門
      危險(xiǎn)級(jí)別：★★
      影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
      描 述：Backdoor/Huigezi "灰鴿子"是后門家族的最新成員之一，采用Delphi語言編寫，并經(jīng)過加殼保護(hù)處理。"灰鴿子"運(yùn)行后，會(huì)自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的指定目錄下，并 重新命名保存（文件屬性設(shè)置為：只讀、隱藏、存檔）。"灰鴿子"是一個(gè)反向連接遠(yuǎn)程控制后門程序，運(yùn)行后會(huì)與駭客指定遠(yuǎn)程服務(wù)器地址進(jìn)行TCP/IP網(wǎng)絡(luò) 通訊。中毒后的計(jì)算機(jī)會(huì)變成網(wǎng)絡(luò)僵尸，駭客可以遠(yuǎn)程任意控制被感染的計(jì)算機(jī)，還可以竊取用戶計(jì)算機(jī)里所有的機(jī)密信息資料等，會(huì)給用戶帶去不同程度的損 失。"灰鴿子"會(huì)把自身注冊(cè)為系統(tǒng)服務(wù)，以服務(wù)的方式來實(shí)現(xiàn)開機(jī)自啟動(dòng)運(yùn)行。"灰鴿子"主安裝程序執(zhí)行完畢后，會(huì)自我刪除。

      （6） "QQ大盜"及其變種
      病毒名稱：Trojan/PSW.QQPass
      中 文 名：QQ大盜
      病毒類型：木馬
      危險(xiǎn)級(jí)別：★
      影響平臺(tái)：Win9X/2000/XP/NT/Me
      描 述：Trojan/PSW.QQPass"QQ大盜"是木馬家族的最新成員之一，采用高級(jí)語言編寫， 并經(jīng)過加殼保護(hù)處理。"QQ大盜"運(yùn)行時(shí)，會(huì)在被感染計(jì)算機(jī)的后臺(tái)搜索用戶系統(tǒng)中有關(guān)QQ注冊(cè)表項(xiàng)和程序文件的信息，然后強(qiáng)行刪除用戶計(jì)算機(jī)中的QQ醫(yī)生 程序"QQDoctorMain.exe"、"QQDoctor.exe"和"TSVulChk.dat"文件，從而來保護(hù)自身不被查殺。"QQ大盜"運(yùn) 行時(shí)，會(huì)在后臺(tái)盜取計(jì)算機(jī)用戶的QQ帳號(hào)、QQ密碼、會(huì)員信息、ip地址、ip所屬區(qū)域等信息資料，并且會(huì)在被感染計(jì)算機(jī)后臺(tái)將竊取到的這些信息資料發(fā)送 到駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)上或郵箱里，會(huì)給被感染計(jì)算機(jī)用戶帶去不同程度的損失。"QQ大盜"通過在注冊(cè)表啟動(dòng)項(xiàng)中添加鍵的方式，來實(shí)現(xiàn)開機(jī)木馬自啟 動(dòng)。

      （7） "Flash蛀蟲"及其變種
      病毒名稱：Exploit.CVE-2007-0071
      中 文 名："Flash蛀蟲"變種
      病毒類型：腳本病毒
      危險(xiǎn)級(jí)別：★★
      影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
      描 述：Exploit.CVE-2007-0071"Flash蛀蟲"是腳本病毒家族的最新成員之一，采用Flash腳本語言和匯編語言編寫而成，并且代碼 經(jīng)過加密處理，利用"Adobe Flash Player"漏洞傳播其它病毒。"Flash蛀蟲"一般內(nèi)嵌在正常網(wǎng)頁中，如果用戶計(jì)算機(jī)沒有及時(shí)升級(jí)安裝"Adobe Flash Player"提供的相應(yīng)的漏洞補(bǔ)丁，那么當(dāng)用戶使用瀏覽器訪問帶有"Flash蛀蟲"的惡意網(wǎng)頁時(shí)，就會(huì)在當(dāng)前用戶計(jì)算機(jī)的后臺(tái)連接駭客指定站點(diǎn)，下載 其它惡意程序并在被感染計(jì)算機(jī)上自動(dòng)運(yùn)行。所下載的惡意程序一般多為木馬下載器，然后這個(gè)木馬下載器還會(huì)下載更多的惡意程序安裝到被感染計(jì)算機(jī)的系統(tǒng)中， 會(huì)給用戶帶去不同程度的損失。

      （8） "初始頁"及其變種
      病毒名稱：Trojan/StartPage
      中 文 名："初始頁"及其變種
      病毒類型：木馬
      危險(xiǎn)級(jí)別：★★
      影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
      描 述：以Trojan/StartPage.aza為例，Trojan/StartPage.aza"初始頁"變種aza是"初始頁"木馬家族中的最新成員 之一，采用"Microsoft Visual C++ 6.0"編寫，并且經(jīng)過加殼保護(hù)處理。"初始頁"變種aza運(yùn)行后，會(huì)在被感染計(jì)算機(jī)系統(tǒng)的"%SystemRoot%system32" 和"%SystemRoot%system32drivers"目錄下分別釋放惡意DLL功能組件文件"*.dll"（文件名隨機(jī)生成，文件大小 為：45,056 字節(jié)）、惡意驅(qū)動(dòng)文件"*.sys"（文件名隨機(jī)生成，文件大小為：28,608 字節(jié)）。在被感染計(jì)算機(jī)系統(tǒng)的后臺(tái)定時(shí)訪問指定的惡意廣告站點(diǎn)
"http://www.outhang.cn/api.php?id=%d& amp;mac=%s&type=%d&setupdate=%d%02d%02d&homepage=%s"，提高這些惡意網(wǎng) 站的訪問量（網(wǎng)絡(luò)排名），不僅給駭客帶來經(jīng)濟(jì)利益，而且還會(huì)嚴(yán)重影響和干擾用戶的正常操作。另外，"植木馬器"變種ps還會(huì)占用大量系統(tǒng)資源，極大地降低 了系統(tǒng)的運(yùn)行速度。在被感染計(jì)算機(jī)的后臺(tái)秘密竊取用戶當(dāng)前所使用的系統(tǒng)的配置信息，然后從駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)
"http://www.outhang.cn /update.php?id=%d&updateversion=%d"下載惡意程序并調(diào)用運(yùn)行。其中，所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號(hào)木 馬、遠(yuǎn)程控制后門或惡意廣告程序（流氓軟件）等，會(huì)給用戶帶來不同程度的損失。"初始頁"變種aza釋放出來的惡意驅(qū)動(dòng)程序每次啟動(dòng)后都會(huì)強(qiáng)行設(shè)置系統(tǒng) IE瀏覽器的默認(rèn)啟始頁為"http://www.3929.cn/?tn=102731"("tn="后面的編號(hào)不唯一)。因?yàn)樵摬《緸轵?qū)動(dòng)級(jí)病毒，所 以用戶計(jì)算機(jī)一旦感染該病毒后就極難清除干凈。"初始頁"變種aza會(huì)通過在被感染計(jì)算機(jī)中注冊(cè)系統(tǒng)服務(wù)的方式，來實(shí)現(xiàn)木馬開機(jī)自啟動(dòng)。

      （9） "機(jī)器狗"及其變種
      病毒名稱：Trojan/DogArp
      中 文 名：機(jī)器狗
      病毒類型：木馬
      危險(xiǎn)級(jí)別：★★
      影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
      描 述：以Trojan/DogArp. h為例，Trojan/DogArp.h"機(jī)器狗"變種h是"機(jī)器狗"木馬家族的最新成員之一，采用高級(jí)語言編寫，并經(jīng)過加殼保護(hù)處理。"機(jī)器狗"變種h 運(yùn)行后，在指定目錄下釋放惡意驅(qū)動(dòng)程序并加載運(yùn)行。通過惡意驅(qū)動(dòng)程序直接掛接磁盤IO端口進(jìn)行讀寫真實(shí)磁盤物理地址中的數(shù)據(jù)和進(jìn)行監(jiān)控關(guān)機(jī)行為等操作，從 而達(dá)到穿透還原軟件的目的。覆蓋"explorer.exe"、"userinit.exe"或"regedit.exe"等系統(tǒng)文件，實(shí)現(xiàn)"機(jī)器狗"變 種h開機(jī)自啟動(dòng)。惡意驅(qū)動(dòng)程序還能還原系統(tǒng)"SSDT"，致使某些安全軟件的防御和監(jiān)控功能失效。惡意破壞注冊(cè)表，致使注冊(cè)表編輯器無法運(yùn)行。遍歷當(dāng)前計(jì) 算機(jī)系統(tǒng)中的進(jìn)程列表，一旦發(fā)現(xiàn)與安全相關(guān)的進(jìn)程，強(qiáng)行將其關(guān)閉。修改注冊(cè)表，利用進(jìn)程映像劫持功能禁止近百種安全軟件及調(diào)試工具運(yùn)行。在被感染計(jì)算機(jī)系 統(tǒng)的后臺(tái)連接駭客指定站點(diǎn)獲取惡意程序列表，下載列表中的所有惡意程序并在被感染計(jì)算機(jī)上自動(dòng)調(diào)用運(yùn)行。其中，所下載的惡意程序可能是網(wǎng)游木馬、廣告程序 （流氓軟件）、后門等，給被感染計(jì)算機(jī)用戶帶去不同程度的損失。

      （10） "RPCSS毒手"及其變種
      病毒名稱：Win32/Infectrpcss
      中 文 名："RPCSS毒手"及其變種
      病毒類型：木馬
      危險(xiǎn)級(jí)別：★★
      影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
      描 述：以Win32/Infectrpcss.a為例，Win32/Infectrpcss.a"RPCSS毒手"變種a是"RPCSS毒手"木馬家族中的 最新成員之一，采用高級(jí)語言編寫，并且經(jīng)過加殼保護(hù)處理。該病毒是由其它惡意程序釋放出來的DLL功能組件文件，一般會(huì)被插入 到"explorer.exe"、"csrss.exe"、"svchost.exe"等系統(tǒng)進(jìn)程，以及幾乎所有用戶級(jí)權(quán)限的進(jìn)程中加載運(yùn)行，并在被感染 計(jì)算機(jī)系統(tǒng)的后臺(tái)執(zhí)行惡意操作，隱藏自我，防止被用戶發(fā)現(xiàn)、被安全軟件查殺。"RPCSS毒手"變種a運(yùn)行后，會(huì)自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng) 的"%SystemRoot%system32"目錄下，重新命名為"csrss.dll"，釋放病毒組件文件"sh01008.dll"（文件大 ?。?1,504 字節(jié)）到"%SystemRoot%system32"目錄下。"RPCSS毒手"變種a是一個(gè)專門盜取"完美世界Online"、"誅仙 Online"等網(wǎng)絡(luò)游戲會(huì)員賬號(hào)的木馬程序，會(huì)在被感染計(jì)算機(jī)的后臺(tái)秘密監(jiān)視用戶系統(tǒng)中所運(yùn)行著的所有應(yīng)用程序窗口標(biāo)題，然后利用鍵盤鉤子、內(nèi)存截取或 封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、游戲密碼、所在區(qū)服、角色等級(jí)、金錢數(shù)量、倉庫密碼等信息，并在后臺(tái)將竊取到的玩家機(jī)密信息發(fā)送到駭客指定的 遠(yuǎn)程服務(wù)器站點(diǎn)上（地址加密存放），致使網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、裝備、物品、金錢等丟失，給游戲玩家?guī)聿煌潭鹊膿p失。同時(shí)，"RPCSS毒手"變種 a還具有竊取玩家游戲賬號(hào)密碼保護(hù)的功能。因此，當(dāng)游戲玩家發(fā)現(xiàn)自己的游戲賬號(hào)被盜時(shí)，請(qǐng)千萬不要在當(dāng)前被感染的計(jì)算機(jī)上登陸該網(wǎng)絡(luò)游戲的官方網(wǎng)站去找回 游戲密碼，否則會(huì)連同您的密碼保護(hù)資料一同被駭客盜取，給您帶來更大程度的損失。利用域名映像劫持功能，在被感染計(jì)算機(jī)的后臺(tái)強(qiáng)行篡改系統(tǒng)中的Hosts 文件，屏蔽某些網(wǎng)絡(luò)游戲站點(diǎn)，阻止用戶對(duì)這些網(wǎng)絡(luò)游戲網(wǎng)站的訪問，從而達(dá)到用戶丟失賬號(hào)后無法馬上取回密碼的目的。"RPCSS毒手"變種a利用進(jìn)程守護(hù) 功能來實(shí)現(xiàn)自我保護(hù)。該病毒會(huì)通過替換系統(tǒng)"rpcss.dll"文件來實(shí)現(xiàn)開機(jī)自啟動(dòng)。如果安全軟件直接刪除掉帶毒文件"rpcss.dll"的話，會(huì) 導(dǎo)致被感染計(jì)算機(jī)無法連接網(wǎng)絡(luò)、系統(tǒng)復(fù)制(粘貼)功能失效、桌面程序"explorer.exe"啟動(dòng)緩慢等后果，嚴(yán)重影響用戶對(duì)計(jì)算機(jī)系統(tǒng)的正常使用。

yajing