2006年上半年未发生重大的计算机病毒疫情,病毒仍然沿袭了2005年的总体特征,主要以盗号窃秘的木马病毒为主。2006年上半年病毒呈现的新特征还包括,僵尸网络病毒仍有发作,但较去年有所减弱,新发现的僵尸网络病毒传染性更强,综合利用了微软操作系统的多种漏洞。利用微软0day漏洞的WMF恶意代码1、2月份在网上传播较为广泛,多家网站被种植了该恶意代码。此外,通过QQ进行传播的 Adware类病毒在上半年发作的病毒总数中占有较大比例,这跟QQ用户群广泛以及应用十分频繁有关,用户的安全意识薄弱,随意点击不明链接也是此类广告件频发的重要原因。2006年上半年,江民反病毒中心监测到国内首例通过隐藏电脑用户数据进行勒索钱财的敲诈病毒,虽然此类病毒在国外早有报道,但在国内尚属首次。
2006年上半年十大病毒档案
一、“灰鸽子”
病毒名称:Backdoor/Huigezi
病毒中文名:“灰鸽子”
病毒类型:后门
危险级别:★
影响平台: Win 9X/ME/NT/2000/XP
描述:Backdoor/Huigezi.cm“灰鸽子”变种cm是一个未经授权远程访问用户计算机的后门。“灰鸽子”变种cm运行后,自我复制到系统目录下。修改注册表,实现开机自启。侦听黑客指令,记录键击,盗取用户机密信息,例如用户拨号上网口令,URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外,“灰鸽子”变种cm可下载并执行特定文件,发送用户机密信息给黑客等。
二、“传奇窃贼”
病毒名称:Trojan/PSW.LMir
病毒中文名:“传奇窃贼”
病毒类型:木马
危险级别:★
影响平台: Win 9x/2000/XP/NT/Me
描述:传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后,主程序文件自己复制到系统目录下。修改注册表,实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后,会自动重启。窃取“传奇2”帐号密码,并将盗取的信息发送给黑客。
三、“高波”
病毒名称:Backdoor/Agobot
病毒中文名:“高波”
病毒类型:后门
危险级别:★★
影响平台:Win 2000/XP/NT
描述: Backdoor/Agobot.aky “高波变种”aky是一个经UPX压缩,主要利用网络弱密码共享进行传播的后门程序。该后门程序还可利用微软DCOM RPC漏洞提升权限,允许黑客利用IRC通道远程进入用户计算机。该程序运行后,程序文件自我复制到系统目录下,并修改注册表,以实现程序的开机自启。开启黑客指定的TCP端口。连接黑客指定的IRC通道,侦听黑客指令。黑客通过该后门在用户计算机上可进行的操作有:安装并升级病毒程序;下载并运行指定文件;盗取用户系统信息并发送给作者等。利用程序自带的密码字典破解网络共享弱密码。盗取黑客所指定的多种游戏的序列号,终止某些防火墙及杀毒软件的进程。该程序可执行DoS攻击。
并列第三:“瑞波”
病毒名称:Backdoor/RBot.auv
病毒中文名:“瑞波”
病毒类型:后门
危险级别:★★
影响平台: Windows 2000/XP/2003
描述:该变种病毒经过多层压缩加密壳处理,可以利用多种系统漏洞进行传播,感染能力很强。中毒计算机将被黑客完全控制,成为"僵尸电脑"。由于此病毒会扫描感染目标,因此可以造成局域网拥堵,该网友反映的情况很有可能是中了“瑞波”病毒。
四、“CHM木马”
病毒名称:Exploit.MhtRedir
病毒中文名:“CHM木马”
病毒类型:木马、脚本
危险级别:★★
影响平台:Windows 98/ME/NT/2000/XP/2003
描述:
利用IE浏览器MHTML跨安全区脚本执行漏洞(MS03-014)的恶意网页脚本,
自从2003年以来,一直是国内最为流行的种植网页木马的恶意代码类型,
2005年下半年,泛滥趋势稍有减弱,2006年上半年的感染数量仍然很大,
没有短期内消亡的迹象。
五、“WMF漏洞利用者”
病毒名称:Exploit.MsWMF
病毒中文名:“WMF漏洞利用者”
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述: Exploit.MsWMF.a“WMF漏洞利用者”变种a是一个利用微软MS06-001漏洞进行传播的木马。如果用户使用未打补丁的Windows系统,在上网浏览、本地打开或预览恶意WMF文件时,自动下载网络上的其它病毒文件,侦听黑客指令,对用户计算机进行各种攻击。