金山毒霸“云安全”:7月十大病毒排行榜

2009/8/13 来源:www.arpun.com 作者:小白

此排行榜是根据金山毒霸云安全系统的监测统计, 经过特殊计算后得出的参考数据, 反映的是感染总量最高的前十个病毒。 考虑到潜在的数据丢失和监视盲区, 榜中数据均为保守值。 该榜仅针对WINDOWS系统下的PE病毒单一样本, 一些总感染量很高的病毒, 因为变种较多, 分摊到各变种上的感染量反而小, 因此未列入此榜。

  

金山毒霸“云安全”:7月十大病毒排行榜金山毒霸发布2009年7月互联网安全报告

  1.Win32.troj.gameolt.zg.61529(网游盗号木马ZG)

  展开描述:盗窃网游帐号, 洗劫虚拟财产

  症状:游戏密码错误, 装备丢失, 网游帐号被盗

  卡巴命名:Trojan-GameThief.Win32.Magania.bjlw、HEUR.Trojan.Win32.Generic

  瑞星命名:Trojan.PSW.Win32.GameOLx.cpn

  NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD

  麦咖啡命名:PWS-OnlineGames.ektrojan

  该毒是一个针对网络游戏的盗号木马程序, 它能盗窃多款流行网游的账号密码信息。 此毒在7月出现感染量高增长, 很大程度上是得益于频发的0day漏洞问题。

  大量的0day漏洞为各类脚本下载器的挂马传播提供了有利条件, 而脚本下载器在进入系统后, 就会下载不少传统的木马。 Win32.troj.gameolt.zg.61529正是在这样的情况下, 实现感染量的大幅增长的。 而如果用户发现自己电脑中不断出现此毒, 那么表明系统中已经潜入了某款未知下载器, 这种情况, 可下载运行金山安全实验室的"金山急救箱", 对未知下载器灭活即可。

  2.Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者)

  展开描述:模仿文件夹图标, 欺骗用户点击

  症状:U盘文件夹图标被替换, 杀毒后文件夹丢失

  卡巴命名:P2P-Worm.Win32.Agent.ta、Trojan-Dropper.Win32.Flystud.ko

  瑞星命名:Trojan.Win32.ECode.een、orm.Win32.Agent.aaqn

  NOD32命名:virus.Win32.Small.L、Worm.Win32.AutoRun.FlyStudio.GS

  麦咖啡命名:W32.Madangel.bvirus、W32.Fujacks.awvirus

  Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者), 7月份继续保持高感染量, 牢牢坚守着感染量第一的领先位置。

  此毒是一个U盘病毒, 它将自己的图标伪装成系统文件夹的样子, 用户在U盘中看到一个陌生文件夹时, 多半都会去点击。 如此一来, 即使用户禁止了U盘自动播放, 该毒依然能够实现运行。 运行后, 此毒会下载一些别的恶意程序, 执行多种破坏行为。 此外, 有一些脚本挂马也会帮助该毒传播, 一旦它们利用系统安全漏洞攻入电脑, 就会立即下载包括"文件夹模仿者"在内的其它恶意程序。

  根据变种的不同, 此毒会呈现多种症状, 其中比较明显的一种, 是用户系统中的文件夹全部变为病毒的EXE文件, 用户必须点击病毒文件才可进入文件夹。 这使得病毒得以多次运行, 如果该变种所携带的执行模块是广告插件, 那么就会尽可能多的弹出广告网页。

  3.Win32.troj.fakefoldert.yo.1406378(文件夹模仿者变种)

  展开描述:模仿文件夹图标, 欺骗用户点击

  症状:U盘文件夹图标被替换, 杀毒后文件夹丢失

  卡巴命名:Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af

  瑞星命名:Trojan.Win32.ECode.een、Trojan.Win32.ECode.een

  NOD32命名:Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ

  麦咖啡命名:W32.Autorun.worm.dqvirus、W32.Autorun.worm.evvirus

  此毒为Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者)的一款变种, 感染该毒后的所有症状均一致。 它在7月脱离了Win32.Troj.FakeFolderT.yl.1407388的"战壕", 不再与其保持同步的感染数据变化, 感染量明显减小, 不过仍位列TOP10中。

  而由于它的参战, 文件夹模仿者系列成为7月总感染量最高的病毒。 。

  4.Win32.troj.cfgt.ex.38507(CFG网游盗号器变种)

  展开描述:依靠网页挂马传播, 盗窃网游帐号

  症状:游戏密码失效, 装备丢失, 网游帐号被盗

  卡巴命名:Trojan-GameThief.Win32.Magania.Bdax、Trojan-PSW.Win32.LdPinch.afvu

  瑞星命名:Trojan.PSW.Win32.GameOL.zqln、Trojan.PSW.Win32.XYOnline.alvn

  NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD

  "CFG网游盗号器变种"(win32.troj.cfgt.ex.38507)7月份继续上榜, 并且保持了与6月时相同的排名。 这款盗号木马主要依靠网页挂马传播, 能盗取多款流行网游的账号和木马。 如果用户系统中存在安全漏洞, 就很容易受到脚本下载器的攻击。 然后脚本下载器就会直接下载此毒, 或者先下载一个类似宝马下载器这样的普通下载器, 再下载此盗号木马。

  打齐系统补丁是防御此毒的最好办法, 只要堵住系统中的安全漏洞, 感染"CFG网游盗号器变种"(win32.troj.cfgt.ex.38507)的几率就会大大减小。

  如果毒霸频繁提示发现此毒, 表明系统中很可能存在未知的下载器, 造成每次删除后又再次下载。 这种情况不用慌, 只需安装并运行金山安全实验室免费提供的"金山急救箱", 对未知下载器进行灭活, 即可解决问题。

  5.Win32.trojdownloader.bmwat.ex.117184(宝马下载器变种)

  展开描述:变种数量大, 频繁免杀, 下载恶意程序

  症状:杀软失效, 系统运行变卡, 系统中出现大量不明文件, 网游帐号被盗

  卡巴命名:Trojan-Dropper.Win32.Mudrop.aht、Trojan-Dropper.Win32.Mudrop.afr

  瑞星命名:Trojan.Win32.KillAV.bemn、Trojan.Win32.KillAV.bfdn

  NOD32命名:Trojan.Win32.Genetik

  麦咖啡命名:StartPage-HRtrojan

  "宝马下载器"具备有对抗杀毒软件的能力, 会采用多种方式尝试中止杀软进程或禁止杀软的服务, 甚至还会释放驱动来用于穿透系统还原保护和某些杀软的"主动防御"。 随后下载各种恶意程序到电脑上执行。 宝马系列在7月的上半月时, 曾出现过一段时间的"偃旗息鼓", 虽然Win32.trojdownloader.bmwat.ex.117184这个变种的感染量较高, 可其它变种却几乎不见了踪影。 直到下半月, 才出现了多款突然爆发的新变种。

  6.Win32.troj.pastat.uv.160735(恶意安装包)

  展开描述:捆绑传播、借机下载恶意木马

  症状:系统运行变慢, 系统中出现不明文件, 自动弹出浏览器窗口

  卡巴命名:Trojan.Win32.Pasta.Ug、Trojan.Win32.Pasta.aua

  还记得我们上个月的安全月报中提示过的捆绑型传播吗?此毒就是一个非常典型的利用捆绑其它软件来传播的木马程序。 根据金山毒霸云安全系统记录到的数据, 在7月份, 最受病毒团伙欢迎的捆绑对象是Qvod播放器, 几乎每天都会发现捆绑该播放器传播的木马, 而Win32.troj.pastat.uv.160735(恶意安装包)是其中传播量最大的。

  此毒将自己与Qvod播放器的下载器捆绑, 或者直接捆绑在Qvod的安装包中。 一旦用户下载, 就能趁机混入电脑。 而当它运行后, 就下载诸如广告木马、远控木马、盗号木马等。

  所有的受害用户都有个共同点, 就是他们下载该播放器的地点, 均为小型下载站点或不良网站, 这些网站由于安全防御等级较低, 很容易被黑客入侵利用, 或者根本就是黑客搭建的陷阱。

  7.Win32.troj.trsrarsfxt.c.183296(病毒寄生体)

  展开描述:捆绑传播秘密下载

  症状:系统运行变慢, 系统中出现不明文件, 自动弹出浏览器窗口

  瑞星命名:Trojan.Win32.KillAV.bkkn、AdWare.Win32.Undef.fapn

  NOD32命名:Trojan.VBS.StartPage.NAG、Trojan.VBS.StartPage.NAG

  这是一个捆绑型的木马程序。 该毒通过将自己插入其它文件的方法进行传播, 目前发现它喜欢"寄生"的文件主要是各种视频文件和如Qvod等热门播放器的安装包。 这都是病毒团伙精心制造的陷阱。

  当进入电脑后, 就会在用户播放视频文件时实现运行, 执行破坏, 比如执行远程控制和下载广告木马等。 此外, 一些受欢迎的视频播放程序也成为它"寄生"的目标。

  想要避免遭遇此毒, 最好的办法是不要去非法下载站点下载视频或程序, 另外, 还需养成良好的防御习惯, 就是每次下载完后, 都用毒霸扫描一下, 这样可大大降低中招的概率。

  8.Win32.troj.onlineg.cg.27251(网游盗号木马CG)

  展开描述:盗取游戏账号侵犯虚拟财产安全

  症状:游戏密码错误, 装备丢失, 网游帐号被盗

  卡巴命名:Trojan-GameThief.Win32.Magania.biht

  瑞星命名:Dropper.Win32.ExInject.fn、"Trojan.PSW.Win32.GameOnline.dxxn

  NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD

  麦咖啡命名:GenericDropper.ebtrojan

  这是一个网游盗号木马。 该毒可借助捆绑程序和网页挂马等多种方法进行传播, 在7月份, 由于多款软件的0day漏洞被公布, 它的感染量得以增加。 病毒作者将该毒捆绑于一些受欢迎的小型程序上, 只要用户下载并运行这些程序, 病毒就会一起运行起来。

  此毒的行为非常简单, 一旦顺利进入电脑, 就修改注册表实现自启动, 然后通过内存读取和消息截获等多种方式记录用户系统中的网游的账号密码。

  9.Win32.troj.encodeie.ao.524288(传奇盗号下载器AO)

  展开描述:感染系统文件, 帮助病毒传播

  症状:系统中出现不明文件, 系统资源被大量占用, 电脑运行变慢, 网游账号被盗

  卡巴命名:Trojan.Win32.BHO.nng

  瑞星命名:RootKit.Win32.Agent.etjn

  "传奇盗号下载器AO"(win32.troj.encodeie.ao.524288)这个古老的盗号木马近来又出现了感染量增长, 我们认为这和近来曝出的多个0day漏洞有一定关系, 虽然感染量并不是很大, 不过也可作为一种老毒的"复活"现象有所关注。

  此毒可以下载许多别的木马到用户电脑中运行, 但其自身也具有盗号功能。

  由于早期样本大多以盗窃传奇游戏为主, 该毒被命名为传奇盗号下载器。 但实际上, 根据变种的不同, 它可以利用内存注入、键盘记录、消息截获等多种手段盗取多款游戏的帐号。

  使用"系统清理专家"打齐系统补丁是免受此毒骚扰的最简单办法。

  10.Win32.troj.pastat.uv.328162(恶意安装包)

  展开描述:捆绑传播、借机下载恶意木马

  症状:系统运行变慢, 系统中出现不明文件, 自动弹出浏览器窗口

  卡巴命名:Trojan.Win32.Pasta.adz

  该毒为win32.troj.pastat.uv.160735的一款变种。 它所有传播方式以及感染后的症状, 均与前者相同, 因此不做详细介绍。 此毒的上榜, 使得恶意捆绑类的病毒成为了7月份对用户影响最大的病毒群体。 金山毒霸安全专家预计, 在八月份, 网民们将面临病毒利用捆绑手段发起的更大规模攻击。

网友评论
评论(...
全部评论