2007年上半年计算机病毒整体情况及特征

　　7月5日，国内最大的计算机反病毒软件供应商江民科技发布了2007年上半年十大病毒排行及病毒疫情报告。

　　据江民科技反病毒中心统计，从2007年1月1日到2007年6月30日，反病毒中心共截获新病毒73972种，较去年同期增长了221%。江民KV病毒预警中心显示，1至6月全国共有14081895台计算机感染了病毒。

　　十大病毒中，“ANI病毒”凭借新的挂马方式，以传播范围广破坏力强，高居病毒排行榜首位，成为上半年的“毒王”，现在一半以上挂马网页都使用了这种方式。“U盘寄生虫”病毒位居排行榜第二，该病毒利用U盘等移动设备进行传播，短短一周就感染了5565台计算机。位居第三的是“威金”系列病毒，最出名的当属“熊猫烧香”，在1月-3月期间尤其猖獗。此外，ARP类病毒采取一种欺骗技术，这半年来被越来越多的病毒所使用，是病毒发展的一个新趋势，这类病毒目前在排行榜中名列第四。而位居第五、第六位的“代理木马”和“网游大盗”都是具有盗窃特征的木马，前者可以偷取计算机用户机密信息，后者可盗取网络游戏玩家帐号密码。位居第七、八、九位的“鞋匠”病毒、“广告泡泡”、“ 埃德罗”虽然这些病毒编写的方法原理不同，但他们都属于广告程序，中毒后计算机的特征之一就是都会自动弹出广告页面。“IstBar脚本”是一个木马脚本类病毒，中毒后计算机也会出现主页被修改，和自动弹出广告的症状，位居排行榜第十。

　　据江民2007年上半年病毒疫情报告显示，2007年上半年病毒发展的新特征较2006年有所改变。利用微软Windows系统ANI文件处理漏洞(MS07-017)进行传播的网络蠕虫，可感染正常的可执行文件和本地网页文件，并下载大量木马程序，这种新型的挂马方式正已惊人的速度侵蚀着互联网安全；由于U盘的广泛应用以及众多电脑用户在使用U盘时没有先进行病毒扫描的习惯，U盘等新的数据信息载体已成为病毒传播的主要途径之一；ARP欺骗技术，主要是针对局域网用户，病毒通过伪造的ARP数据包，严重干扰网络的正常运行。这三类病毒都可以说代表着2007年病毒新的发展趋势。而排在后六位的病毒，则沿袭了2006年的整体病毒特征，主要以盗号窃秘的木马病毒为主。而用户的安全意识薄弱，随意点击不明链接是诱发广告程序频发的重要原因。

　　根据江民全球病毒监测网(国内部分)、江民病毒预警中心、客户服务中心等多个部门联合监测统计，综合病毒的破坏能力以及传播范围，江民反病毒中心公布了2007上半年度十大病毒排行：

　　2007年上半年十大病毒档案

　　一、ANI病毒

　　病毒名称：Exploit.ANIfile

　　病毒中文名：ANI病毒

　　病毒类型：蠕虫

　　危险级别：★★

　　影响平台：Windows 2000/XP/2003/Vista

　　描述： 以Exploit.ANIfile.b为例，“ANI毒”变种b是一个利用微软Windows系统ANI文件处理漏洞(MS07-017)进行传播的网络蠕虫。“ANI毒”变种b运行后，自我复制到系统目录下。修改注册表，实现开机自启动。感染正常的可执行文件和本地网页文件，并下载大量木马程序。感染本地磁盘和网络共享目录下的多种类型的网页文件（包括*.HTML，*.ASPX，*.HTM，*.PHP，*.JSP，*.ASP），植入利用ANI文件处理漏洞的恶意代码。自我复制到各逻辑盘根目录下，并创建autorun.inf自动播放配置文件。双击盘符即可激活病毒，造成再次感染。修改hosts文件，屏蔽多个网址，这些网址大多是以前用来传播其它病毒的站点。另外，“ANI毒”变种b还可以利用自带的SMTP引擎通过电子邮件进行传播。

　　二、U盘寄生虫

　　病毒名称：Checker/Autorun

　　病毒中文名：U盘寄生虫

　　病毒类型：蠕虫

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　描述：Checker/Autorun“U盘寄生虫”是一个利用U盘等移动设备进行传播的蠕虫。“U盘寄生虫”是针对autorun.inf这样的自动播放文件的蠕虫病毒。autorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下，当用户双击U盘等设备的时候，该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件，而该文件就会立即执行所要加载的病毒程序，从而破坏用户计算机，使用户计算机遭受损失。

　　三、熊猫烧香

　　病毒名称：Worm/Viking

　　病毒中文名：熊猫烧香

　　病毒类型：蠕虫

　　危险级别：★★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　描述：以Worm/Viking.qo.Html“威金”变种qo（熊猫烧香脚本病毒）为例，该病毒是由“熊猫烧香”蠕虫病毒感染之后的带毒网页，该网页会被“熊猫烧香”蠕虫病毒注入一个iframe框架，框架内包含恶意网址引用 ，这样，当用户打开该网页之后，如果IE浏览器没有打上补丁，IE就会自动下载并且执行恶意网址中的病毒体，此时用户电脑就会成为一个新的病毒传播源，进而感染局域网中的其他用户计算机。

　　四、“ARP”类病毒

　　病毒名称：“ARP”类病毒

　　病毒中文名：“ARP”类病毒

　　病毒类型：木马

　　危险级别：★★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　描述：通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。 用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

　　五、代理木马

　　病毒名称：Trojan/Agent

　　病毒中文名：代理木马

　　病毒类型：广告程序

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　描述：以“代理木马”变种crd为例， Trojan/Agent.crd是一个盗取用户机密信息的木马程序。“代理木马”变种crd运行后，自我复制到系统目录下，文件名随机生成。修改注册表，实现开机自启。从指定站点下载其它木马，侦听黑客指令，盗取用户机密信息。