【51CTO.com 綜合消息】江民反病毒中心、江民KV病毒預(yù)警監(jiān)測系統(tǒng)、江民全國惡意網(wǎng)頁監(jiān)測系統(tǒng)、江民客戶服務(wù)中心聯(lián)合監(jiān)測統(tǒng)計(jì)的數(shù)據(jù)顯示，2008年01月 01日至2008年12月31日，共截獲病毒1095932種類（所有病毒計(jì)數(shù)按KV特征碼記錄計(jì)算，并非樣本MD5值，病毒變種無論多少均視為同 一類病毒），較2007年增長201.9%，共有28085085臺用戶計(jì)算機(jī)感染了病毒。

與2007年相比，2008年度病毒種類增長了約201.9%，感染計(jì)算機(jī)總數(shù)下降了18.39%。雖然2008年總體來說計(jì)算機(jī)病毒數(shù)量仍然居高不 下，但總體病毒感染量的下降也在一定程度上反映出國內(nèi)的網(wǎng)民在安全意識方面有了一定的提高，網(wǎng)絡(luò)安全防范措施有所增強(qiáng)。

圖1

從全年的病毒種類來看，2008年月病毒種類維持在10萬左右。年初的時(shí)候，處于相對平穩(wěn)狀態(tài)，在5月份達(dá)到年度峰值（110144種） ，之后在8萬到10萬之間上下浮動(dòng)，10月份跌到年度低谷（78895種）。

圖2

從感染的計(jì)算機(jī)數(shù)量來看，病毒疫情最嚴(yán)重的月份集中在上半年。1月份全國感染計(jì)算機(jī)總數(shù)達(dá)到年度峰值（341萬7千余臺），成為 年度疫情最嚴(yán)重的月份。2月份到9月份有一定幅度下滑，10月份達(dá)到年度低谷（129萬1千余臺），11月、12月有微幅上揚(yáng)趨勢。

從所截獲的病毒種類來看,2008年所截獲的病毒中,木馬病毒占78%,后門病毒占10%,廣告程序占4%,蠕蟲病毒占6%,其它類型惡意代碼 為2%。相較于2007年，木馬、后門類病毒占病毒總數(shù)的比例增長了10%，這說明2008年度網(wǎng)絡(luò)安全最大的威脅仍然來自于木馬、后門類病毒。

圖3

總體來講，2008年計(jì)算機(jī)病毒疫情總體呈現(xiàn)出如下幾個(gè)特征：

一、網(wǎng)游盜號類病毒大行其道

新木馬病毒中十有七八受經(jīng)濟(jì)利益驅(qū)使，利用鍵盤鉤子、內(nèi)存截取或封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲帳號、游戲密碼、所在區(qū)服、角色等級、金錢 數(shù)量、倉庫密碼等信息資料的病毒今年十分活躍。

2008年年截獲的新木馬病毒中，80％以上都與盜取網(wǎng)絡(luò)游戲帳號密碼有關(guān)。病毒作 者的牟利目標(biāo)十分明確，就是盜取互聯(lián)網(wǎng)上有價(jià)值的信息和資料，特別是網(wǎng)絡(luò)游戲帳號密碼、以及虛擬裝備等，轉(zhuǎn)賣后獲取利益。逐 利已成為此類病毒的唯一動(dòng)機(jī)和目標(biāo)，隨著網(wǎng)絡(luò)游戲的火爆和興盛，此類病毒仍然有著龐大的市場和生存空間，成為2008年度最主流 的計(jì)算機(jī)病毒。

二、應(yīng)用軟件漏洞成為“網(wǎng)頁掛馬”新途徑

2008年，每一次系統(tǒng)漏洞出現(xiàn)，都會迅速涌現(xiàn)出大量的利用該漏洞的惡意網(wǎng)頁。除了操作系統(tǒng)以及瀏覽器存在的漏洞，眾多應(yīng)用工具 軟件漏洞也大量被病毒利用，比如各種IM即時(shí)通訊聊天工具漏洞、播放器漏洞、網(wǎng)絡(luò)電視播放軟件漏洞、甚至就連搜索工具條漏洞都 被駭客大量利用。

駭客“網(wǎng)頁掛馬”的方式除了入侵各種存在漏洞的網(wǎng)站、論壇以及博客系統(tǒng)，直接在入侵網(wǎng)站的頁面上掛馬外，最 廣泛的傳播方式是在網(wǎng)絡(luò)上大量散發(fā)將帶有病毒的惡意網(wǎng)頁鏈接，散發(fā)方式多種多樣，可以是即時(shí)聊天工具，也可以是使用特制的各 種博客或論壇的自動(dòng)登陸發(fā)布系統(tǒng)（如各種論壇群發(fā)軟件，可自動(dòng)向指定的大量論壇發(fā)指定內(nèi)容的帖子），這些被廣泛傳播的惡意網(wǎng) 頁地址無處不在，成為互聯(lián)網(wǎng)上埋下的一顆顆定時(shí)炸彈。

如最新的微軟IE7 XML 0day漏洞自出現(xiàn)后十天之內(nèi)，即被黑客廣泛用于網(wǎng)頁 掛馬，傳播計(jì)算機(jī)病毒。10天中，江民反病毒中心截獲了數(shù)百個(gè)利用此漏洞的惡意網(wǎng)頁，它們分布在165個(gè)黑客網(wǎng)站上，而這些作為 病毒傳播源的惡意網(wǎng)頁地址更是被廣泛傳播到成千上萬的網(wǎng)站上，數(shù)百萬電腦用戶面臨嚴(yán)重安全威脅。

三、網(wǎng)絡(luò)欺詐威脅急劇上升

2008年，各種名目的虛假網(wǎng)絡(luò)欺詐頻頻現(xiàn)身。其中，偽裝騰訊QQ發(fā)布虛假中獎(jiǎng)信息的廣告尤其突出。病毒通過彈出一個(gè)偽裝的QQ 消息窗口，用戶一旦點(diǎn)擊了彈出窗口中的鏈接，該病毒便會打開一個(gè)偽裝的騰訊QQ網(wǎng)站，并顯示虛假的中獎(jiǎng)信息，誘惑用戶點(diǎn)擊并進(jìn) 入領(lǐng)獎(jiǎng)窗口。隨后該釣魚網(wǎng)站會要求用戶填寫個(gè)人信息資料及輸入中獎(jiǎng)消息上提供的驗(yàn)證碼，當(dāng)領(lǐng)獎(jiǎng)信息全部填寫完畢后，釣魚網(wǎng)站 會提示用戶需要提前繳納手續(xù)費(fèi)并提供一個(gè)駭客的銀行賬戶，誘騙用戶向駭客的賬戶中匯款，騙取錢財(cái)。

除了QQ之外，淘寶網(wǎng)旗下的 淘寶旺旺用戶也頻遭此類網(wǎng)絡(luò)欺詐侵害，淘寶賣家的旺旺上頻繁彈出非淘寶網(wǎng)鏈接，欺詐者通過“我想買這個(gè)寶貝”“這個(gè)寶貝有貨 嗎”等語言，后面跟上一個(gè)欺詐網(wǎng)址，使淘寶用戶誤以為是買家需要的寶貝鏈接從而去點(diǎn)擊，最終可能導(dǎo)致淘寶帳號被盜或電腦感染 病毒的嚴(yán)重后果。

四、僵尸網(wǎng)絡(luò)有增無減 BOT類病毒高發(fā)

2008年，江民反病毒中心監(jiān)測到，上半年各種可以用來組建“僵尸網(wǎng)絡(luò)”的BOT類病毒高發(fā)，由于電腦感染BOT病毒后，可以接受服務(wù) 器端的遠(yuǎn)程控制，導(dǎo)致許多電腦用戶不知不覺成為黑客的幫兇。2008年上半年，為了確保奧運(yùn)會網(wǎng)絡(luò)安全，江民反病毒中心配合國家 計(jì)算機(jī)病毒處理中心集中處理BOT類病毒數(shù)千種，協(xié)助公安部門清理了多個(gè)“僵尸網(wǎng)絡(luò)”病毒源頭。

案例一：“僵尸網(wǎng)絡(luò)”危害巨大，2008年某知名門戶網(wǎng)站就曾經(jīng)受到僵尸網(wǎng)絡(luò)的攻擊，導(dǎo)致多臺服務(wù)器無法為網(wǎng)民提供服務(wù)，損失巨大。

案例二：據(jù)國家計(jì)算機(jī)病毒應(yīng)急處理中心介紹，2008年，山東濰坊兩家物流公司因?yàn)榇嬖谏虡I(yè)競爭，一公司為搶奪客戶資源雇用黑客利用DDOS 手段大面積入侵聯(lián)網(wǎng)電腦，致使濰坊40萬網(wǎng)通用戶7月份不能正常上網(wǎng)。6月底，畢某與曲某為了打擊競爭對手的物流公司，共同策劃 讓濰坊市這家物流園公司網(wǎng)絡(luò)癱瘓的手段，雇用了黑客高手朱某想辦法讓對手打不開網(wǎng)站。朱某是淄博人，酷愛電腦技術(shù)。因計(jì)劃與 女朋友共同買房的朱某目前尚短缺一筆不小的資金，為了湊足這筆資金，他答應(yīng)幫助畢某、曲某的忙。朱某想到利用DDOS黑客程序進(jìn) 行攻擊，朱某7月10日開始抓“機(jī)”（電腦），總共控制了大約5000臺“肉機(jī)”（又稱傀儡機(jī)）。

利用這些傀儡機(jī)，自7月17日開始， 朱某在家里或者網(wǎng)吧攻擊濰坊該物流公司的電腦主機(jī)，不想濰坊某物流公司的托管服務(wù)器正好位于網(wǎng)通公司，黑客攻擊連累全市40多 萬網(wǎng)通用戶無法正常上網(wǎng)。 五、病毒產(chǎn)業(yè)化以及互聯(lián)網(wǎng)化日益明顯 目前計(jì)算機(jī)病毒已經(jīng)呈現(xiàn)出產(chǎn)業(yè)化特征，已經(jīng)形成從“病毒作者”——“盜號團(tuán)伙”——“銷售平臺”——“終端用戶”的完整產(chǎn) 業(yè)鏈，病毒作者不再會為惡作劇、破壞系統(tǒng)、干擾用戶操作這些損人不利己的事情去消耗精力，獲利已經(jīng)成為黑客傳播病毒的唯一目標(biāo)。

更多的病毒選擇悄悄潛伏在系統(tǒng)中，伺機(jī)竊取病毒作者指定的有價(jià)信息，如網(wǎng)游帳號密碼、虛擬裝備、Q幣、網(wǎng)上銀行帳號密碼 等等。制作和傳播計(jì)算機(jī)病毒已經(jīng)演變?yōu)橛蓄A(yù)謀的網(wǎng)絡(luò)犯罪，而參與網(wǎng)絡(luò)犯罪的人員因?yàn)榻M織嚴(yán)密、分工明確，已經(jīng)成為一種“網(wǎng)絡(luò) 黑社會”。

與現(xiàn)實(shí)生活中的黑勢力團(tuán)伙不同，這種“網(wǎng)絡(luò)黑社會”是通過互聯(lián)網(wǎng)進(jìn)行分工和指派任務(wù)的，他們通常利用臨時(shí)QQ群的形式集會， 所有活動(dòng)完全通過互聯(lián)網(wǎng)實(shí)施，并通過互聯(lián)網(wǎng)銷售平臺將竊取的有價(jià)信息轉(zhuǎn)賣，整個(gè)作案過程完全實(shí)現(xiàn)了互聯(lián)網(wǎng)化。

案例：據(jù)國家計(jì)算機(jī)病毒應(yīng)急處理中心介紹,2007年12月16日，“3.5”特大網(wǎng)上銀行盜竊案的8名主要犯罪嫌疑人全部落入法網(wǎng)。8名疑犯 在網(wǎng)上以虛擬身份聯(lián)系，糾集成伙，雖不明彼此身份，卻配合密切，分工明確，有人制作木馬病毒，有人負(fù)責(zé)收集信息，有人提現(xiàn)， 有人收贓，在不到一年時(shí)間里竊得人民幣300余萬元。

徐偉沖提供信息，金星通過網(wǎng)上購買游戲點(diǎn)卡，轉(zhuǎn)手倒賣給湖南長沙的“寶寶 ”，即陳娜。因信息太多，忙不過來，金星又在網(wǎng)上將信息倒賣給“小胖”，“小胖”再轉(zhuǎn)賣他人提現(xiàn)。

陸瑛娜則不停地在網(wǎng)上購游戲點(diǎn)卡，她到外地制作了兩張假身份證，在數(shù)家銀行開了賬戶，忙著到蘇州、昆山、常州等周邊地區(qū)銀行去取贓款。 2008年4月11日，無錫市濱湖區(qū)法院對一起公安部掛牌督辦的重大網(wǎng)絡(luò)犯罪案件作出了一審判決，被告人金星 、徐偉沖 、陸瑛娜、 方少宏因構(gòu)成信用卡詐騙罪和盜竊罪，分別被判處十四年至三年不等的有期徒刑。

2008年十大高發(fā)性熱門病毒 江民反病毒中心、江民客戶服務(wù)中心、江民全球反病毒監(jiān)測網(wǎng)、江民全國惡意網(wǎng)頁監(jiān)測系統(tǒng)、江民KV病毒預(yù)警系統(tǒng)聯(lián)合統(tǒng)計(jì)，綜合 感染的用戶計(jì)算機(jī)臺數(shù)、病毒的危害性、病毒新技術(shù)、清除難易程度等因素，評出2008年度十大熱門病毒。

在江民公司2008年度截獲的所有病毒中，網(wǎng)游盜號類病毒最為猖獗,“網(wǎng)游竊賊”“網(wǎng)游大盜”病毒分別占據(jù)十大病毒第一、二名， 而在病毒感染計(jì)算機(jī)臺數(shù)前20名病毒中,網(wǎng)絡(luò)游戲盜號木馬占了10個(gè)席位,上千萬臺電腦被此類病毒感染。

“網(wǎng)游竊賊”病毒以壓倒 其它病毒的絕對優(yōu)勢一舉成為2008年度“毒王”，而去年的“毒王”“U盤寄生蟲”則下降到第四位。

圖4

 #p#

2008年度十大計(jì)算機(jī)病毒檔案：

（1）“網(wǎng)游竊賊”及其變種病毒

名稱：Trojan/PSW.OnLineGames 中 文 名：網(wǎng)游竊賊病毒類型：木馬危險(xiǎn)級別：★ 影響平臺：Win 9X/ME/NT/2000/XP/2003

描 述：Trojan/PSW.OnLineGames“網(wǎng)游竊賊”是一個(gè)盜取網(wǎng)絡(luò)游戲帳號的木馬程序，會在被感染計(jì)算機(jī)系統(tǒng)的后臺秘密監(jiān)視用戶 運(yùn)行的所有應(yīng)用程序窗口標(biāo)題，然后利用鍵盤鉤子、內(nèi)存截取或封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲帳號、游戲密碼、所在區(qū)服 、角色等級、金錢數(shù)量、倉庫密碼等信息資料，并在后臺將盜取的所有玩家信息資料發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)上。

致使網(wǎng)絡(luò) 游戲玩家的游戲帳號、裝備物品、金錢等丟失，會給游戲玩家?guī)ゲ煌潭鹊膿p失?！熬W(wǎng)游竊賊”會通過在被感染計(jì)算機(jī)系統(tǒng)注冊 表中添加啟動(dòng)項(xiàng)的方式，來實(shí)現(xiàn)木馬開機(jī)自啟動(dòng)。

（2）“網(wǎng)游大盜”及其變種

病毒名稱：Trojan/PSW.GamePass 中文名：網(wǎng)游大盜病毒類型：木馬危險(xiǎn)級別：★

影響平臺：Win 9X/ME/NT/2000/XP/2003 描 述：Trojan/PSW.GamePass“網(wǎng)游大盜”是一個(gè)盜取網(wǎng)絡(luò)游戲帳號的木馬程序，會在被感染計(jì)算機(jī)系統(tǒng)的后臺秘密監(jiān)視用戶運(yùn) 行的所有應(yīng)用程序窗口標(biāo)題，然后利用鍵盤鉤子、內(nèi)存截取或封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲帳號、游戲密碼、所在區(qū)服、 角色等級、金錢數(shù)量、倉庫密碼等信息資料，并在后臺將盜取的所有玩家信息資料發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)上。

致使網(wǎng)絡(luò)游 戲玩家的游戲帳號、裝備物品、金錢等丟失，會給游戲玩家?guī)ゲ煌潭鹊膿p失?！熬W(wǎng)游大盜”會通過在被感染計(jì)算機(jī)系統(tǒng)注冊表 中添加啟動(dòng)項(xiàng)的方式，來實(shí)現(xiàn)木馬開機(jī)自啟動(dòng)。

（3）“代理木馬”及其變種

病毒名稱：Trojan/Agent 中 文 名：代理木馬病毒類型：木馬危險(xiǎn)級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003 描 述：Trojan/Agent “代理木馬”是木馬家族的最新成員之一，采用高級語言編寫，并經(jīng)過加殼保護(hù)處理。“代理木馬”運(yùn)行后 ，會自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)中的指定目錄下，修改注冊表，實(shí)現(xiàn)開機(jī)自啟。

在被感染計(jì)算機(jī)的后臺秘密竊取用戶所使用系統(tǒng)的配置信息，然后從駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)下載其它惡意程序并安裝調(diào)用運(yùn)行。

其中，所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號木馬、遠(yuǎn)程控制后門和惡意廣告程序等等，會給用戶帶去不同程度的損失。

（4）“U盤寄生蟲”及其變種

病毒名稱：Checker/Autorun 中 文 名：U盤寄生蟲 病毒類型：蠕蟲危險(xiǎn)級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003 描 述：Checker/Autorun“U盤寄生蟲”是一個(gè)利用U盤等移動(dòng)存儲設(shè)備進(jìn)行自我傳播的蠕蟲病毒?！癠盤寄生蟲”運(yùn)行后，會自 我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的指定目錄下，并重新命名保存?！癠盤寄生蟲”會在被感染計(jì)算機(jī)系統(tǒng)中的所有磁盤根目錄下創(chuàng)建 “autorun.inf”文件和蠕蟲病毒主程序體，來實(shí)現(xiàn)用戶雙擊盤符而啟動(dòng)運(yùn)行“U盤寄生蟲”蠕蟲病毒主程序體的目的。

“U盤寄生蟲”還具有利用U盤、移動(dòng)硬盤等移動(dòng)存儲設(shè)備進(jìn)行自我傳播的功能。“U盤寄生蟲”運(yùn)行時(shí)，可能會在被感染計(jì)算機(jī)系統(tǒng)中定時(shí)彈出惡 意廣告網(wǎng)頁，或是下載其它惡意程序到被感染計(jì)算機(jī)系統(tǒng)中并調(diào)用安裝運(yùn)行，會被用戶帶去不同程度的損失?！癠盤寄生蟲” 會通過 在被感染計(jì)算機(jī)系統(tǒng)注冊表中添加啟動(dòng)項(xiàng)的方式，來實(shí)現(xiàn)蠕蟲開機(jī)自啟動(dòng)。

（5）“灰鴿子”及其變種

病毒名稱：Backdoor/Huigezi 中 文 名：灰鴿子病毒類型：后門危險(xiǎn)級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003 描 述：Backdoor/Huigezi

“灰鴿子”是后門家族的最新成員之一，采用Delphi語言編寫，并經(jīng)過加殼保護(hù)處理?！盎银澴印边\(yùn)行后，會自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的指定目錄下，并重新命名保存（文件屬性設(shè)置為：只讀、隱藏、存檔）。

“灰鴿子”是一個(gè) 反向連接遠(yuǎn)程控制后門程序，運(yùn)行后會與駭客指定遠(yuǎn)程服務(wù)器地址進(jìn)行TCP/IP網(wǎng)絡(luò)通訊。中毒后的計(jì)算機(jī)會變成網(wǎng)絡(luò)僵尸，駭客可以 遠(yuǎn)程任意控制被感染的計(jì)算機(jī)，還可以竊取用戶計(jì)算機(jī)里所有的機(jī)密信息資料等，會給用戶帶去不同程度的損失?！盎银澴印睍炎?身注冊為系統(tǒng)服務(wù)，以服務(wù)的方式來實(shí)現(xiàn)開機(jī)自啟動(dòng)運(yùn)行?！盎银澴印敝靼惭b程序執(zhí)行完畢后，會自我刪除。

（6） “QQ大盜”及其變種

病毒名稱：Trojan/PSW.QQPass 中 文 名：QQ大盜病毒類型：木馬危險(xiǎn)級別：★

影響平臺：Win9X/2000/XP/NT/Me 描 述：Trojan/PSW.QQPass“QQ大盜”是木馬家族的最新成員之一，采用高級語言編寫， 并經(jīng)過加殼保護(hù)處理?！癚Q大盜”運(yùn)行 時(shí)，會在被感染計(jì)算機(jī)的后臺搜索用戶系統(tǒng)中有關(guān)QQ注冊表項(xiàng)和程序文件的信息，然后強(qiáng)行刪除用戶計(jì)算機(jī)中的QQ醫(yī)生程序 “QQDoctorMain.exe”、“QQDoctor.exe”和“TSVulChk.dat”文件，從而來保護(hù)自身不被查殺。

“QQ大盜”運(yùn)行時(shí)，會在后臺盜取 計(jì)算機(jī)用戶的QQ帳號、QQ密碼、會員信息、ip地址、ip所屬區(qū)域等信息資料，并且會在被感染計(jì)算機(jī)后臺將竊取到的這些信息資料發(fā) 送到駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)上或郵箱里，會給被感染計(jì)算機(jī)用戶帶去不同程度的損失?！癚Q大盜”通過在注冊表啟動(dòng)項(xiàng)中添加鍵 的方式，來實(shí)現(xiàn)開機(jī)木馬自啟動(dòng)。

（7） “Flash蛀蟲”及其變種

病毒名稱：Exploit.CVE-2007-0071 中 文 名：“Flash蛀蟲”變種

病毒類型：腳本病毒危險(xiǎn)級別：★★ 影響平臺：Win 9X/ME/NT/2000/XP/2003

描 述：Exploit.CVE-2007-0071“Flash蛀蟲”是腳本病毒家族的最新成員之一，采用Flash腳本語言和匯編語言編寫而成，并且 代碼經(jīng)過加密處理，利用“Adobe Flash Player”漏洞傳播其它病毒。

“Flash蛀蟲”一般內(nèi)嵌在正常網(wǎng)頁中，如果用戶計(jì)算機(jī)沒有 及時(shí)升級安裝“Adobe Flash Player”提供的相應(yīng)的漏洞補(bǔ)丁，那么當(dāng)用戶使用瀏覽器訪問帶有“Flash蛀蟲”的惡意網(wǎng)頁時(shí)，就會 在當(dāng)前用戶計(jì)算機(jī)的后臺連接駭客指定站點(diǎn)，下載其它惡意程序并在被感染計(jì)算機(jī)上自動(dòng)運(yùn)行。

所下載的惡意程序一般多為木馬下載 器，然后這個(gè)木馬下載器還會下載更多的惡意程序安裝到被感染計(jì)算機(jī)的系統(tǒng)中，會給用戶帶去不同程度的損失。

（8） “初始頁”及其變種

病毒名稱：Trojan/StartPage 中文名：“初始頁”及其變種病毒類型：木馬危險(xiǎn)級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003 描 述：以Trojan/StartPage.aza為例，Trojan/StartPage.aza“初始頁”變種aza是“初始頁”木馬家族中的最新成員之一，采 用“Microsoft Visual C++ 6.0”編寫，并且經(jīng)過加殼保護(hù)處理。

“初始頁”變種aza運(yùn)行后，會在被感染計(jì)算機(jī)系統(tǒng)的“% SystemRoot%\system32\”和“%SystemRoot%\system32\drivers\”目錄下分別釋放惡意DLL功能組件文件“*.dll”（文件名隨機(jī)生 成，文件大小為：45,056 字節(jié)）、惡意驅(qū)動(dòng)文件“*.sys”（文件名隨機(jī)生成，文件大小為：28,608 字節(jié)）。

在被感染計(jì)算機(jī)系統(tǒng) 的后臺定時(shí)訪問指定的惡意廣告站點(diǎn) “http://www.outhang.cn/api.php?id=%d&mac=%s&type=%d&setupdate=%d%02d%02d&homepage=%s”，提高這些惡意網(wǎng)站的訪問量（ 網(wǎng)絡(luò)排名），不僅給駭客帶來經(jīng)濟(jì)利益，而且還會嚴(yán)重影響和干擾用戶的正常操作。

另外，“植木馬器”變種ps還會占用大量系統(tǒng)資 源，極大地降低了系統(tǒng)的運(yùn)行速度。在被感染計(jì)算機(jī)的后臺秘密竊取用戶當(dāng)前所使用的系統(tǒng)的配置信息，然后從駭客指定的遠(yuǎn)程服務(wù) 器站點(diǎn) “http://www.outhang.cn/update.php?id=%d&updateversion=%d”下載惡意程序并調(diào)用運(yùn)行。其中，所下載的惡意程序可能為網(wǎng)絡(luò) 游戲盜號木馬、遠(yuǎn)程控制后門或惡意廣告程序（流氓軟件）等，會給用戶帶來不同程度的損失。

“初始頁”變種aza釋放出來的惡意 驅(qū)動(dòng)程序每次啟動(dòng)后都會強(qiáng)行設(shè)置系統(tǒng)IE瀏覽器的默認(rèn)啟始頁為“http://www.3929.cn/?tn=102731”(“tn=”后面的編號不唯一)。 因?yàn)樵摬《緸轵?qū)動(dòng)級病毒，所以用戶計(jì)算機(jī)一旦感染該病毒后就極難清除干凈。

“初始頁”變種aza會通過在被感染計(jì)算機(jī)中注冊系統(tǒng)服務(wù)的方式，來實(shí)現(xiàn)木馬開機(jī)自啟動(dòng)。

（9） “機(jī)器狗”及其變種

病毒名稱：Trojan/DogArp 中 文 名：機(jī)器狗

病毒類型：木馬危險(xiǎn)級別：★★ 影響平臺：Win 9X/ME/NT/2000/XP/2003

描 述：以Trojan/DogArp. h為例，Trojan/DogArp.h“機(jī)器狗”變種h是“機(jī)器狗”木馬家族的最新成員之一，采用高級語言編寫 ，并經(jīng)過加殼保護(hù)處理。“機(jī)器狗”變種h運(yùn)行后，在指定目錄下釋放惡意驅(qū)動(dòng)程序并加載運(yùn)行。

通過惡意驅(qū)動(dòng)程序直接掛接磁盤IO 端口進(jìn)行讀寫真實(shí)磁盤物理地址中的數(shù)據(jù)和進(jìn)行監(jiān)控關(guān)機(jī)行為等操作，從而達(dá)到穿透還原軟件的目的。覆蓋“explorer.exe”、 “userinit.exe”或“regedit.exe”等系統(tǒng)文件，實(shí)現(xiàn)“機(jī)器狗”變種h開機(jī)自啟動(dòng)。惡意驅(qū)動(dòng)程序還能還原系統(tǒng)“SSDT”，致使某 些安全軟件的防御和監(jiān)控功能失效。

惡意破壞注冊表，致使注冊表編輯器無法運(yùn)行。遍歷當(dāng)前計(jì)算機(jī)系統(tǒng)中的進(jìn)程列表，一旦發(fā)現(xiàn)與 安全相關(guān)的進(jìn)程，強(qiáng)行將其關(guān)閉。修改注冊表，利用進(jìn)程映像劫持功能禁止近百種安全軟件及調(diào)試工具運(yùn)行。在被感染計(jì)算機(jī)系統(tǒng)的 后臺連接駭客指定站點(diǎn)獲取惡意程序列表，下載列表中的所有惡意程序并在被感染計(jì)算機(jī)上自動(dòng)調(diào)用運(yùn)行。其中，所下載的惡意程序 可能是網(wǎng)游木馬、廣告程序（流氓軟件）、后門等，給被感染計(jì)算機(jī)用戶帶去不同程度的損失。

（10） “RPCSS毒手”及其變種

病毒名稱：Win32/Infectrpcss 中 文 名：“RPCSS毒手”及其變種

病毒類型：木馬危險(xiǎn)級別：★★ 影響平臺：Win 9X/ME/NT/2000/XP/2003

描 述：以Win32/Infectrpcss.a為例，Win32/Infectrpcss.a“RPCSS毒手”變種a是“RPCSS毒手”木馬家族中的最新成員之一， 采用高級語言編寫，并且經(jīng)過加殼保護(hù)處理。

該病毒是由其它惡意程序釋放出來的DLL功能組件文件，一般會被插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系統(tǒng)進(jìn)程，以及幾乎所有用戶級權(quán)限的進(jìn)程中加載運(yùn)行，并在被感染計(jì)算機(jī)系統(tǒng)的后臺執(zhí)行惡意操作，隱藏自我，防止被用戶發(fā)現(xiàn)、被安全軟件查殺。

“RPCSS毒手”變種a運(yùn)行后，會自我復(fù)制到被感染計(jì)算機(jī) 系統(tǒng)的“%SystemRoot%\system32\”目錄下，重新命名為“csrss.dll”，釋放病毒組件文件“sh01008.dll”（文件大?。?1,504 字節(jié)）到“%SystemRoot%\system32\”目錄下。

“RPCSS毒手”變種a是一個(gè)專門盜取“完美世界Online”、“誅仙Online”等網(wǎng)絡(luò)游 戲會員賬號的木馬程序，會在被感染計(jì)算機(jī)的后臺秘密監(jiān)視用戶系統(tǒng)中所運(yùn)行著的所有應(yīng)用程序窗口標(biāo)題，然后利用鍵盤鉤子、內(nèi)存 截取或封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號、游戲密碼、所在區(qū)服、角色等級、金錢數(shù)量、倉庫密碼等信息，并在后臺將竊取到的玩家機(jī)密信息發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)上（地址加密存放），致使網(wǎng)絡(luò)游戲玩家的游戲賬號、裝備、物品、金錢等丟失，給游戲玩家?guī)聿煌潭鹊膿p失。同時(shí)，“RPCSS毒手”變種a還具有竊取玩家游戲賬號密碼保護(hù)的功能。

因此，當(dāng)游戲玩家發(fā)現(xiàn) 自己的游戲賬號被盜時(shí)，請千萬不要在當(dāng)前被感染的計(jì)算機(jī)上登陸該網(wǎng)絡(luò)游戲的官方網(wǎng)站去找回游戲密碼，否則會連同您的密碼保護(hù) 資料一同被駭客盜取，給您帶來更大程度的損失。

利用域名映像劫持功能，在被感染計(jì)算機(jī)的后臺強(qiáng)行篡改系統(tǒng)中的Hosts文件，屏蔽某些網(wǎng)絡(luò)游戲站點(diǎn)，阻止用戶對這些網(wǎng)絡(luò)游戲網(wǎng)站的訪問，從而達(dá)到用戶丟失賬號后無法馬上取回密碼的目的。“RPCSS毒手”變 種a利用進(jìn)程守護(hù)功能來實(shí)現(xiàn)自我保護(hù)。

該病毒會通過替換系統(tǒng)“rpcss.dll”文件來實(shí)現(xiàn)開機(jī)自啟動(dòng)。如果安全軟件直接刪除掉帶毒 文件“rpcss.dll”的話，會導(dǎo)致被感染計(jì)算機(jī)無法連接網(wǎng)絡(luò)、系統(tǒng)復(fù)制(粘貼)功能失效、桌面程序“explorer.exe”啟動(dòng)緩慢等后 果，嚴(yán)重影響用戶對計(jì)算機(jī)系統(tǒng)的正常使用。

【編輯推薦】

1. 金山08中國互聯(lián)網(wǎng)安全報(bào)告:病毒木馬爆增 云安全勢在必行
2. 要聞回顧：系統(tǒng)補(bǔ)丁少應(yīng)用補(bǔ)丁多 硬件爆洞蠕蟲逞兇
3. 吃獨(dú)食搶地盤 “犇?！毙伦兎N有如網(wǎng)上黑社會