中国2007年上半年病毒疫情及互联网安全报告

附十大病毒简介

1、AV终结者

一个专门与杀毒软件对抗，破坏用户电脑的安全防护系统，并在用户电脑毫无抵抗力的情况下，大量下载盗号木马的病毒。

病毒特征： 杀毒软件不能正常运行，IE搜索与“杀毒”相关的关键字，浏览器窗口会被关闭。病毒还采用映像劫持、破坏系统安全模式、阻止显示隐藏文件、关闭windows安全中心和Windows防火墙、删除杀毒软件注册表记录等技术手段对抗安全软件。病毒最终目的是下载大量盗号木马和后门程序。AV终结者病毒指的是一批具备这些特征的病毒、木马和蠕虫的集合。

2、熊猫烧香

一个让网民身受其害，极为嚣张的恶性蠕虫病毒。伴随着病毒作者的落网，又引发了网民对病毒背后黑色产业链的讨论。

病毒特征："熊猫烧香"蠕虫不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。

3、灰鸽子

这是一个"中国制造"的隐蔽性极强的木马，连续数年被反病毒厂商列为年度十大病毒。用户一旦被入侵，电脑将沦为肉鸡，任人宰割。

病毒特征：使用远程注入、Ring3级Rookit等手段达到隐藏自身的目的。一般它会被人蓄意捆绑到一些所谓的免费软件中，并放到互联网上，诱骗用户下载。因为其具有很强的隐蔽性，所以用户一旦从不知名网站下载并误运行了这些软件，机器就会被控制，而且很难发觉。攻击者可以对感染机器进行多种任务操作，如文件操作、注册表操作、强行视频等等。

4、艾妮

"艾妮"病毒集熊猫烧香、维金两大病毒危害于一身，传播性与破坏性极强，而且利用微软Oday漏洞传播，大量用户身受其害。

病毒特征：艾妮是一个Win32平台下的感染型蠕虫，可感染本地磁盘、可移动磁盘及共享目录中大小在10K---10M之间的所有.exe文件，感染扩展名为.ASP、.JSP、PHP、HTM、ASPX、HTML的脚本文件，并可连接网络下载其他病毒。

5、QQ尾巴

QQ尾巴自诞生以来衍生出大量的变种，某些变种会添加到起始项，修改文件关联，禁用进程管理器，关闭大量的安全软件，对用户系统安全性能带来极大威胁。

病毒特征：该病毒是一个利用了IE漏洞在一些知名度不甚高的网站首页上嵌入了一段恶意代码，在用户使用QQ向好友发送信息的时候，该木马程序会自动在发送的消息末尾插入一段广告词，诱骗用户点击，从而达到侵入用户系统，进而借助QQ进行垃圾信息发送的目的。该病毒每隔几分钟就会发送一次欺骗消息，严重干扰了用户正常的信息传递。而该信息是隐藏的，发送方并不知道。

6、魔兽木马

一类盗取"魔兽世界"游戏帐号和密码的木马。

病毒特征：运行后，会把自己拷贝到windows下并添加注册表启动项。病毒会不断的寻找WOW的游戏登录，一但发现，通过钩子读取用户输入的游戏帐号与密码，并把它们发送到木马种植者的邮箱中去；此外，它还会记录并发送用户在游戏中的活动情况。

7、征途木马

一类盗取"征途"游戏帐号和密码的木马。

病毒特征：病毒运行时会监控征途游戏登陆窗口，并且记录键盘信息，把所窃取的信息通过其自身所带的邮件引擎发送到黑客指定邮箱中。

8、维金变种

一个让企业用户头疼的蠕虫病毒，集成"可执行文件感染"、"网络感染"、"下载网络木马及其它病毒"的复合型病毒，若用户不幸感染该病毒，将会面临系统瘫痪、网银、网游帐号被盗、重要信息泄漏等多重威胁。

病毒特征：病毒将自身注入到用户电脑的IE进程里，同时终止多个杀毒软件的监控进程，并连接到指定的恶意站点，下载盗号木马或者其他感染型病毒，进一步侵害用户的电脑系统，不但导致用户的系统硬盘的资料和数据文件被损坏，而且有可能出现用户的电脑资料外泄和网络虚拟财产被盗等现象。

9、网游盗号木马

一个盗取网络游戏的游戏帐号的木马病毒。该病毒跟一般游戏盗号木马相似，它会潜伏在受感染的电脑系统中，伺机搜寻并注入游戏进程，窃取有效信息，并将其发送给木马种植者，造成用户的虚拟财产的损失。此外，它还能终止特定的安全软件的监控进程和服务，导致电脑的安全性能下降。

病毒特征：该病毒运行后，会自动释放upxdnd.exe和upxdnd.dll病毒文件，修改注册表，实现随开机自动启动。终止Twister.exe，FilMsg.exe和RavMon.exe等安全软件的监控进程。

10、罗姆

一个导致大量安全软件运行失败，即便是将病毒解决掉以后，还是会发现杀毒软件不能运行，下载大量盗号木马到用户计算机来盗取用户的帐号信息的病毒。

病毒特征：释放病毒文件并创建注册表项来使病毒文件随系统而启动；尝试删除以下注册表项来防止其它病毒的干扰；将病毒文件romdrivers.dll注入到explorer进程中，然后通过explorer来连接网络进行病毒自更新，下载大量盗号木马到用户计算机来盗取用户的帐号信息；发送大量的ARP欺骗数据包，严重影响局域网，造成局域网网络阻塞并导致企业网络中断。