3月份互聯(lián)網(wǎng)十大病毒均系木馬 全部與盜號(hào)相關(guān)
1.win32.vbt.hl.84701 (無(wú)公害感染源)
展開(kāi)描述:感染文件,幫助木馬傳播
卡巴命名:Virus.Win32.VB.bu
瑞星命名:Trojan.PSW.SBoy.a
N0D32命名:virus.Win32.Sality.NAC
麥咖啡命名:PWS-LegMir trojan
"無(wú)公害感染源"(win32.vbt.hl.84701)在2月時(shí)就已經(jīng)是感染量排行很高的病毒。在3月份��,它的感染量更是實(shí)現(xiàn)了"跨越式"發(fā)展����,達(dá)到200萬(wàn)臺(tái)次。
該毒本身沒(méi)有任何破壞能力�����,它只是單純的感染用戶電腦中的EXE文件�����,也不會(huì)干擾被感染文件的正常運(yùn)行�。但較以前的版本而言,代碼中增加了一些用于與其它模塊相連接的接口�����。看來(lái)��,病毒作者已經(jīng)完成了測(cè)試�����,開(kāi)始將該毒投入實(shí)戰(zhàn)�����。
盡管在感染文件后����,該毒依然不會(huì)直接破壞系統(tǒng),卻能與別的木馬模塊相配合了�����。至于它們"合體"后會(huì)有哪些危害��,則要看木馬執(zhí)行模塊的功能如何安排�,不同的變種可能具有不同的功能。
2.win32.troj.small.ag.7680(迷你下載器AG)
展開(kāi)描述:下載木馬 存放于臨時(shí)目錄 占用系統(tǒng)資源
卡巴命名:Trojan-Downloader.Win32.Agent.bhyn
瑞星命名:Trojan.DL.Win32.Mnless.cbr
N0D32命名:Trojan.Win32.TrojanDownloader.Agent.OQW
這個(gè)木馬下載器早在2月份就已經(jīng)誕生了�,不過(guò)當(dāng)時(shí)感染量并不大,一直徘徊在1萬(wàn)以下。從3月4號(hào)起����,它開(kāi)始爆發(fā),每天的感染量一路飆升�,最高時(shí)達(dá)到7萬(wàn)余臺(tái)次。
它是以一個(gè)dll文件的形式存在�����,行后會(huì)創(chuàng)建一個(gè)線程,解密自帶的下載地址,從下載地址中下載另一些下載器���,再利用這些下載器把一堆各式各樣的盜號(hào)木馬引到系統(tǒng)的臨時(shí)目錄下運(yùn)行,伺機(jī)搜刮電腦中的各類網(wǎng)游帳號(hào)����。
在對(duì)該毒進(jìn)行測(cè)試時(shí),我么么發(fā)現(xiàn)���,它所下載的部分盜號(hào)木馬也具有下載器功能�����,這就會(huì)造成進(jìn)入用戶電腦的惡意程序越來(lái)越多��,隨著它們陸續(xù)運(yùn)行�����,系統(tǒng)資源會(huì)被逐漸蠶食���,電腦變得越來(lái)越卡�����。
3.win32.troj.sysjunkt.hh(NS窺視器)
展開(kāi)描述:加花加密����,協(xié)助遠(yuǎn)程木馬對(duì)抗殺軟
卡巴命名:Trojan.Win32.BHO.kqd
瑞星命名:RootKit.Win32.Undef.bks
N0D32命名:Win32.Adware.Cinmus,Win32.Adware.Cinmus
麥咖啡命名:DNSChanger.gen trojan
"NS窺視器"(win32.troj.sysjunkt.hh)的3月份的總感染量為156萬(wàn)臺(tái)次����,與2月份相比略有增長(zhǎng)。
此毒為一款遠(yuǎn)程木馬的組成部分�����。它的真身是個(gè)經(jīng)過(guò)加花的木馬驅(qū)動(dòng)�。
一旦進(jìn)入用戶電腦,它就修改注冊(cè)表服務(wù)項(xiàng)���,將自己從屬的木馬冒充成系統(tǒng)進(jìn)程�����,或采用隨機(jī)命名的進(jìn)程名�,實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)。它在后臺(tái)悄悄調(diào)用IE瀏覽器����,連接到病毒作者指定的黑客服務(wù)器。
此毒在3月份時(shí)��,所協(xié)助的病毒除了遠(yuǎn)程后門(mén)外��,還增加了一些廣告木馬����。
4.win32.troj.encodeie.ao.524288(傳奇盜號(hào)下載器AO)
展開(kāi)描述:盜竊《傳奇》帳號(hào)����,非法轉(zhuǎn)移虛擬財(cái)產(chǎn)
卡巴命名:Trojan.Win32.BHO.nng
"傳奇盜號(hào)下載器AO"(win32.troj.encodeie.ao.524288)曾一度以高達(dá)10萬(wàn)臺(tái)次的感染量位居非腳本木馬單日感染量排行的榜首。毒霸反病毒工程師對(duì)其分析后發(fā)現(xiàn)�,它可以下載許多別的木馬到用戶電腦中運(yùn)行,但其自身也具有盜號(hào)功能�����,根據(jù)變種的不同,可以利用內(nèi)存注入���、鍵盤(pán)記錄��、消息截獲等多種手段盜取的就是《傳奇》的帳號(hào)����。
該毒還擁有不少針對(duì)其它游戲的變種����,作案原理大同小異。
"傳奇盜號(hào)下載器AO"無(wú)法自動(dòng)傳播�����,因此可以斷定����,它必然也是借助那些大肆掛馬的腳本下載器進(jìn)入用戶電腦。這樣一來(lái)����,打齊系統(tǒng)補(bǔ)丁也就成了免受此毒騷擾的最簡(jiǎn)單辦法�����。
5.win32.troj.onlinegamet.fd.295241(網(wǎng)游盜號(hào)木馬295241)
展開(kāi)描述:瘋狂盜竊網(wǎng)游帳號(hào)�,侵吞玩家虛擬財(cái)產(chǎn)
卡巴命名:Worm.Win32.Downloader.zd
瑞星命名:Trojan.PSW.Win32.GameOL.udx
N0D32命名:Trojan.Win32.PSW.OnLineGames.NTM
"網(wǎng)游盜號(hào)木馬295241"(win32.troj.onlinegamet.fd.295241)�,這是一個(gè)網(wǎng)游盜號(hào)木馬。根據(jù)變種的不同�,它可盜竊多款網(wǎng)游的帳號(hào)和密碼。
這個(gè)盜號(hào)木馬新變種的對(duì)抗能力依然很弱����,之所以擁有如此大的感染量,是因?yàn)榻柚艘恍┍容^流行的下載器的幫助�。在2月份是,它是借助"貓癬"��,而3月份���,我們則是在不少腳本下載器的下載列表中發(fā)現(xiàn)了它的身影。
如果發(fā)現(xiàn)您的毒霸提示說(shuō)在電腦里發(fā)現(xiàn)此毒��,很有可能是中了某種未知的下載器��。建議下載我們的未知病毒應(yīng)急處理工具"金山系統(tǒng)急救箱"對(duì)注冊(cè)表進(jìn)行清洗��,然后再進(jìn)行一次全盤(pán)查殺。
6.win32.troj.onlinegames.de.36864(cfg尋仙盜號(hào)器變種)
展開(kāi)描述:對(duì)抗殺軟��,《尋仙》問(wèn)"盜"
卡巴命名:rojan-GameThief.Win32.Magania.awzg
瑞星命名:Trojan.PSW.Win32.GameOL.wez
N0D32命名:Trojan.Win32.PSW.OnLineGames.NRD
BitDefender命名:Generic.Onlinegames.14.E204280A
135 萬(wàn)臺(tái)次的感染量����,使得win32.troj.onlinegames.de.36864 (cfg尋仙盜號(hào)器變種)成為本排行榜的第6名。此毒具有簡(jiǎn)單的對(duì)抗能力����,它會(huì)嘗試?yán)脧?qiáng)制關(guān)閉進(jìn)程的辦法,中止一些常見(jiàn)殺軟的進(jìn)程��,如果這些殺軟的自保護(hù)比較弱�����,那么就會(huì)被它"干掉"���。
隨后此毒就搜尋并注入《尋仙》的進(jìn)程���,截取帳號(hào)信息。
從對(duì)該毒的跟蹤上����,我們發(fā)現(xiàn)此毒雖然感染量很大��,但成功機(jī)率卻不高��,因?yàn)榻^大部分時(shí)候�����,它剛進(jìn)入電腦�����,就被毒霸查殺了�。如果用戶發(fā)現(xiàn)自己電腦中有此毒并且又總是殺不干凈����,其實(shí)是因?yàn)殡娔X中有未知下載器在作怪。這時(shí)候僅需下載金山安全實(shí)驗(yàn)室的"系統(tǒng)急救箱"�����,就可將這個(gè)未知下載器滅活���。
7.win32.troj.dropper.jg.210338(盜號(hào)木馬下載器JG)
展開(kāi)描述:保護(hù)病毒木馬,躲避殺軟查殺
卡巴命名:Trojan-Dropper.Win32.Agent.aipa
瑞星命名:Dropper.Win32.Agent.zvf
N0D32命名:Trojan.Win32.TrojanDropper.Agent.NNO
麥咖啡命名:Generic Dropper.cy trojan
BitDefender命名:Rootkit.Agent.AIWN
"盜號(hào)木馬下載器JG"(win32.troj.dropper.jg.210338)在3月前半月的感染量非常之高���,一度逼近單日10萬(wàn)臺(tái)次�。但從18號(hào)開(kāi)始,迅速降低截止31日�����,每日僅有1千余臺(tái)次的感染量���。不過(guò)���,它全月的總成績(jī)還是很"不錯(cuò)",為130萬(wàn)臺(tái)次�����。
此毒不具備對(duì)抗能力�����,為防止被殺軟攔截��,它的一些變種會(huì)被與具有對(duì)抗功能的木馬模塊相捆綁��,進(jìn)入系統(tǒng)后這些對(duì)抗模塊先運(yùn)行起來(lái)��,嘗試解決殺軟。
接著����,該毒就開(kāi)始瘋狂下載各種盜號(hào)木馬,在電腦中洗劫網(wǎng)游帳號(hào)����。
只要打齊系統(tǒng)安全補(bǔ)丁,該毒就無(wú)法進(jìn)入電腦�����,因?yàn)樗墙柚_本木馬下載器才能進(jìn)入電腦��,而腳本木馬又必須是利用系統(tǒng)安全漏洞才能成功實(shí)施攻擊����。
8.win32.binder.agent.ar.110592(地下城盜賊)
卡巴命名:Trojan-Dropper.Win32.Agent.ajat
瑞星命名:Binder.Win32.Agent.ar
N0D32命名:Trojan.Win32.TrojanDropper.Agent.NWE
展開(kāi)描述:添加注冊(cè)表自啟動(dòng) 盜竊成功后自我刪除
腳本木馬的影響是如此之大,借助腳本下載器的幫助����,win32.binder.agent.ar.110592 (地下城盜賊)這個(gè)完全沒(méi)有任何對(duì)抗能力的盜號(hào)木馬,在3月份竟然獲得了131萬(wàn)臺(tái)次的總感染量�。
當(dāng)進(jìn)入系統(tǒng),它就搜索并注入網(wǎng)游《地下城與勇士》的進(jìn)程,悄悄記錄用戶輸入的帳號(hào)和密碼�。
該毒的作者為保證能收到偷來(lái)的游戲帳號(hào)����,設(shè)置了4個(gè)接收網(wǎng)址,每次盜得帳號(hào)后��,會(huì)往這四個(gè)地址都發(fā)送一份郵件���。
9.win32.troj.sysjunk2.ak.32768(木馬驅(qū)動(dòng)器32768)
展開(kāi)描述:對(duì)抗殺軟�,下載網(wǎng)游盜號(hào)木馬
就和普通制造業(yè)的模塊化一樣��,病毒制作也在走向模塊化����。病毒作者不必親自
寫(xiě)完所有代碼,而只需要挑選自己喜歡的模塊相組合��,就能得到想要的病毒�����。"木馬驅(qū)動(dòng)器32768"(win32.troj.sysjunk2.ak.32768)就是一個(gè)這樣的模塊�����。
此模塊為一個(gè)驅(qū)動(dòng)文件,加密加花比較強(qiáng)��。毒霸反病毒工程師對(duì)其進(jìn)行破解分析后�,發(fā)現(xiàn)該驅(qū)動(dòng)主要用于恢復(fù)系統(tǒng)SSDT表,以及獲取系統(tǒng)權(quán)限��,還可以破壞一些常見(jiàn)安全軟件的驅(qū)動(dòng)��。
這些行為直接決定了木馬是否可以成功入侵�����,難怪病毒作者如此費(fèi)心的對(duì)其進(jìn)行加密�,并且還放上許多花指令試圖干擾反病毒工作者的分析。
根據(jù)毒霸云安全系統(tǒng)的統(tǒng)計(jì)����,此模塊整個(gè)3月份的感染量為121萬(wàn)臺(tái)次,遠(yuǎn)遠(yuǎn)高出2月份時(shí)的38萬(wàn)臺(tái)次的電腦��。
10.win32.troj.qqpswt.bs.116858 (QQ小偷)
展開(kāi)描述:盜竊QQ帳號(hào)�����,洗劫用戶Q幣
卡巴命名:Trojan-PSW.Win32.QQPass.fqt
瑞星命名:rojan.PSW.Win32.QQPass.dzm
N0D32命名:Trojan.Win32.PSW.Delf.NLZ
BitDefender命名:Generic.PWStealer.B2169547
病毒團(tuán)伙對(duì)此毒的推廣力度,從2月份一直持續(xù)至今����。該毒可依靠AUTO及時(shí)來(lái)進(jìn)行自動(dòng)傳播。每進(jìn)入一臺(tái)電腦����,就在各磁盤(pán)分區(qū)中生成自己的AUTO文件�,一旦用戶在中毒電腦上使用U盤(pán)等移動(dòng)存儲(chǔ)設(shè)備,這些AUTO文件就會(huì)立刻將其感染����。這樣一來(lái),該毒就能隨著U盤(pán)到處傳播了�。
在3月份,此毒借助腳本下載器傳播的力度不減����。毒霸反病毒工程師在不少木馬下載器中發(fā)現(xiàn)了該毒的下載地址,它的保守感染量達(dá)到近120萬(wàn)臺(tái)次�����。
受該毒威脅的����,主要是網(wǎng)吧等公共電腦����,因?yàn)檫@些電腦的U盤(pán)使用率較高�,U盤(pán)來(lái)源也復(fù)雜,并且每次電腦重啟后都會(huì)刪除之前下載的文件�����,以保護(hù)系統(tǒng)的清潔�。但實(shí)際上,這樣也會(huì)將補(bǔ)丁也一同刪除����,使得電腦極易遭受那些包含有該毒下載鏈接的掛馬的攻擊。
本月重大漏洞介紹
3月份沒(méi)有新的高危漏洞���。本月被黑客們利用最多的漏洞��,為MS09002��、MS06014漏洞�����。金山毒霸預(yù)測(cè)��,在4月份���,它們依然會(huì)是利用得最多的漏洞�。
上個(gè)月被擔(dān)心的adobe reader和adobe flash10漏洞��,本月的確出現(xiàn)了較多利用它們的腳本木馬���,但并不像之前大家所想象中那么嚴(yán)重。
在3月中旬���,國(guó)內(nèi)某安全廠商曾發(fā)出警報(bào)���,稱利用Conficker漏洞病毒將在4.1出現(xiàn)大規(guī)模大爆發(fā),一時(shí)間網(wǎng)絡(luò)中人心惶惶�,甚至有該廠家的用戶向毒霸求助,咨詢到底該如何防范Conficker病毒����。
然而時(shí)間已經(jīng)過(guò)去,該毒的大爆發(fā)在國(guó)內(nèi)外都并未發(fā)生����。事實(shí)上�����,Conficker病毒是很老的病毒家族�,對(duì)于這類能在局域網(wǎng)中快速傳播的病毒����,早在去年10 月份時(shí),微軟就已經(jīng)推出了相關(guān)漏洞補(bǔ)丁�����,只要打上補(bǔ)丁����,就不會(huì)受其影響。目前為止���,似乎只有法國(guó)海軍的內(nèi)網(wǎng)被該毒大規(guī)模入侵過(guò)�����,而它在國(guó)內(nèi)流行的概率更是趨向于0 �����。
我們猜測(cè)���,也許宣布這一消息的廠家只是在跟大家開(kāi)愚人節(jié)玩笑�。
