金山:2009年4月十大病毒排行榜

此排行榜是根据金山毒霸云安全系统的监测统计,经过特殊计算后得出的参考数据,反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区,榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本,一些总感染量很高的病毒,因为变种较多,分摊到各变种上的感染量反而小,因此未列入此榜。

1. Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者)

展开描述: 模仿文件夹图标,欺骗用户点击

卡巴命名: P2P-Worm.Win32.Agent.ta、Trojan-

Dropper.Win32.Flystud.ko、

瑞星命名: Trojan.Win32.ECode.ee
、orm.Win32.Agent.aaq

NOD32命名: virus.Win32.Small.L、

Worm.Win32.AutoRun.FlyStudio.GS

麦咖啡命名: W32.Madangel.b virus、W32.Fujacks.aw virus

此毒将自己的图标伪装成系统文件夹的样子,用户在U盘中看到一个陌生文件夹时,多半都会去点击。如此一来,即使用户禁止了U盘自动播放,该毒依然能够实现运行。运行后,此毒会下载一些别的恶意程序,执行多种破坏行为。
此外,有一些脚本挂马也会帮助该毒传播,一旦它们利用系统安全漏洞攻入电脑,就会立即下载包括"文件夹模仿者"在内的其它恶意程序。

根据变种的不同,此毒会呈现多种症状,其中比较明显的一种,是用户系统中的文件夹全部变为病毒的EXE文件,用户必须点击病毒文件才可进入文件夹。这使得病毒得以多次运行,如果该变种所携带的执行模块是广告插件,那么就会尽可能多的弹出广告网页。

阻止此毒进入系统的最佳办法,是打齐系统补丁并安装金山安全实验室的"网盾",该工具目前由数十万人参与测试,稳定性不断增强,可100%拦截包括0day漏洞在内的所有漏洞利用代码,粉碎黑客的挂马攻击意图。

网盾下载地址 http://labs.duba.net/wd.shtml

2. Win32.troj.addownload.ef.26184 (非法插件安装器)

展开描述:擅自安装插件,传播流氓软件

"非法插件安装器"(win32.troj.addownload.ef.26184)在整个四月里,感染量始终在缓慢攀升。总的感染量超过359万台次。此毒是一个专门帮助流氓软件进入用户电脑安装的下载器。它借助一些脚本木马的帮助,或者捆绑于其它程序,入侵用户电脑。

一旦入侵成功,就会下载一个文件名为kxsosetup.exe的浏览器插件,并将其强行安装到用户电脑中,随后就不时弹出广告窗口,十分烦人。

如发现电脑中混入这个kxsosetup.exe插件,使用金山清理专家的"恶意软件查杀"功能即可将其清除。如果遭遇特别顽固的变种,那么也可以借助清理专家"安全百宝箱"中的"文件粉碎机"功能将其粉碎。

3. Win32.troj.gaopsget.49893(高频下载器)

展开描述: 频繁下载恶意软件 占用系统资源

卡巴命名: Trojan-Dropper.Win32.Microjoin.ap

瑞星命名: Dropper.Agent.naq

NOD32命名: Trojan.Win32.TrojanDropper.MultiJoiner.13.B

麦咖啡命名: MultiDropper-MR trojan

"高频下载器"(win32.troj.gaopsget.49893)这款木马下载器在四月中旬时开始成为我们关注的焦点,此后的几天里,它的感染量一直缓慢上升,在四月的总感染量接近300万台次。

这是一个木马下载器。当它将自己的文件释放到系统临时目录后,就会开始下载大量的木马程序,其中大部分为网游盗号木马。只要不被删除,它在每次开机后都会执行一次下载,严重占用系统资源。

如果用户在自己电脑中发现有此毒的查杀报告,说明系统中存在某些安全漏洞,请尽快用清理专家打齐补丁,并清空系统缓存。

如果这样仍然不断报告说发现此毒,那么则表明将该毒引入您电脑的脚本木马,利用的是某种未知漏洞。这种情况下,下载"网盾"安装,即可堵住这些未知漏洞。

4. Win32.troj.sysjunk2.ak.196608 (干扰弹AK)

展开描述:干扰反病毒工作者,阻止查杀

瑞星命名::RootKit.Win32.Undef.bzl

面对杀毒软件的围追堵截,病毒作者从来都不会愿意束手就擒,他们采用各种方法进行对抗。其中"加花指令"就是他们常用的一种手段。

"干扰弹AK"(win32.troj.sysjunk2.ak.196608),就是个"加花指令"。这种病毒文件本身不会对系统有任何危害,但里面包含有大量的垃圾数据,病毒作者希望以此来干扰反病毒人员的分析工作。如果杀毒软件厂商的反
病毒工程师技术不强,就有可能无法处理此毒。

此外,通过对此毒分析,金山毒霸反病毒工程师发现,此毒在进入系统后会与病毒其它文件一起随机藏匿在一些比较深的目录中。如果用户发现电脑上出现此毒,建议进行全盘查杀,揪出它隐藏的"同伙"。

同时,下载安装金山安全实验室的"网盾",封锁此毒借助脚本下载器进入电脑的通道。

网盾下载地址http://labs.duba.net/wd.shtml

5. Win32.vbt.hl.84701 (无公害感染源)

展开描述:

卡巴命名:Virus.Win32.VB.bu

瑞星命名:Trojan.PSW.SBoy.a

NOD32命名:virus.Win32.Sality.NAC

麦咖啡命名:PWS-LegMir trojan

"无公害感染源"(win32.vbt.hl.84701)在过去的两个月,一直是感染量排行榜中的常客。在4月份,它的感染总量继续上升,达到220万台次,这个数字比3月份时多出20万。

该毒本身没有任何破坏能力,它只是单纯的感染用户电脑中的EXE文件,也不会干扰被感染文件的正常运行。

但是,该毒现在的版本中增加了一些用于与其它模块相连接的接口,这使得它能够帮助那些具有恶意行为的病毒模块进行传播。至于它们"合体"后会有哪些危害,则要看木马执行模块的功能如何安排,不同的变种可能具有不同的功能。

此毒传播的方式多样,既借助网页挂马传播,又借助U盘传播,部分样本还与别的正常程序捆绑在一起,通过用户的下载混进电脑。

6. Win32.trojdownloader.delf.td.145840(宝马下载器变种)

展开描述:变种数量大,频繁免杀,下载恶意程序

卡巴命名: Trojan-Dropper.Win32.Agent.alqf

瑞星命名: Trojan.PSW.Win32.GameOL.xiw

NOD32命名: Trojan.Win32.Agent.PDQ

毫无疑问,宝马下载器是整个四月里,传播范围最广的恶意程序。它的变种数量很大,每逢重要节假日,病毒作者都会"加班"推出一批新变种。

win32.trojdownloader.delf.td.145840这个变种,在清明期间开始爆发,并成为四月感染量较大的病毒之一。

该毒具备有对抗杀毒软件的能力,会采用多种方式尝试中止杀软进程或禁止杀软的服务,甚至还会释放出一个驱动来用于穿透系统还原保护和某些杀软的"主动防御"。

毒霸可拦截该毒和它所下载的盗号木马,如果发现自己电脑上频繁出现此毒,并非该毒"杀不掉",而是表明有别的未知下载器不断的将其"复活",这种情况,只需下载安装金山安全实验室的"系统急救箱",就可解决问题。

"系统急救箱"下载地址http://labs.duba.net/jjx.shtml,下载前请阅读说明。

7. Win32.troj.encodeie.ao.524288 (传奇盗号下载器AO)

展开描述:盗窃网游帐号,非法转移虚拟财产

卡巴命名:Trojan.Win32.BHO.nng

瑞星命名:RootKit.Win32.Agent.etj

"传奇盗号下载器AO"(win32.troj.encodeie.ao.524288)在三月份时,就已被收录到当期的安全月报中。然而在四月,此毒依然猖獗。

通过不断更新变种和借助挂马推广,该毒始终保持着较高的感染量。毒霸反病毒工程师对其分析后发现,它可以下载许多别的木马到用户电脑中运行,但其自身也具有盗号功能,根据变种的不同,可以利用内存注入、键盘记录、消息截获等多种手段盗取《传奇》的帐号。

同时,根据变种不同,该毒也能盗取其它游戏的账号密码信息。

使用"系统清理专家"打齐系统补丁是免受此毒骚扰的最简单办法。

8. Win32.troj.delf.ks.73728 (U盘感染虫变种)

展开描述: 借助U盘传播,危害局域网

卡巴命名:Trojan-Downloader.Win32.Agent.bprr

瑞星命名: Worm.Win32.NSDownloader.au

NOD32命名: Trojan.Win32.TrojanDownloader.Agent.OMQ

麦咖啡命名: Downloader-BNM Trojan

Win32.troj.delf.ks.73728是个普通的U盘病毒,能通过释放AUTO文件在U盘等移动存储设备与电脑之间自由复制感染。此毒进入系统后的行为多变,根据变种的不同,可执行下载木马、远程控制、弹广告等多种破坏。这些都是比较传统的U盘病毒的特征。

之所以拥有较大的感染量,毒霸安全专家认为可能是有网页挂马在为此毒做推广,而该毒借助U盘在办公室局域网之间的传播,也很可能是它感染量较大的原因之一。

9. Win32.troj.killav.ec.118784(宝马下载器变种)

展开描述:变种数量大,频繁免杀,下载恶意程序

卡巴命名:Trojan-

Downloader.Win32.Geral.aj,HEUR.Trojan.Win32.AntiAV

瑞星命名: Trojan.Win32.KillAV.azz
,

Dropper.Win32.AntiAV.f

NOD32命名: Trojan.Win32.TrojanDownloader.Agent.OZY

win32.trojdownloader.delf.td.145840也是宝马下载器的一个变种。
该毒在对抗安全软件、下载恶意程序、威胁系统安全方面,与上面已经提到的win32.trojdownloader.delf.td.145840完全一致。

毒霸可拦截该毒和它所下载的盗号木马,如果发现自己电脑上频繁出现此毒,并非该毒"杀不掉",而是表明有别的未知下载器不断的将其"复活",这种情况,只需下载安装金山安全实验室的"系统急救箱",就可解决问题。

"系统急救箱"下载地址http://labs.duba.net/jjx.shtml,下载前请阅读说明。

10. Win32.trojdownloader.mnless.16384(对抗型下载器)

展开描述:对抗安全软件,下载恶意程序

卡巴命名:Trojan-Downloader.Win32.Agent.bqsm,

Rootkit.Win32.Agent.fia

瑞星命名:Trojan.DL.Win32.Mnless.csg
,

RootKit.Win32.Agent.ehy

NOD32命名:Trojan.Win32.Agent.ONG,
Worm.Win32.AutoRun.Agent.EU

此毒的行为基本与宝马下载器一致,不过它们并不是同一类东西。这反映出了黑客们的技术共享有多么"融洽",不同的病毒作者可以共享同一种病毒技术。
对付该毒不需要什么特别的办法,打齐系统补丁、安装网盾之类的防挂马工具即可。

本月重大漏洞介绍

在4月,微软更新了MS09-014漏洞补丁(对应补丁编号为KB963027),用于替换之前的MS09-002和MS08-078两个高危漏洞补丁,用户修补了MS09-014后可以不再修补另两个漏洞。

这种使用新补丁替换旧补丁的情况,被称为"累积性的安全更新",也就是说,同一个漏洞问题,如果之前推出的补丁没能彻底解决,那么就出一个新的补丁再次升级,希望新的补丁可以解决此问题。从微软的这次更新我们可以看出,MS09-002和MS08-07依然是非常重要的漏洞。

事实上,自从爆出后,MS09-002和MS08-07就一直是深受脚本木马作者欢迎的漏洞,在金山毒霸所截获的脚本木马中,有相当数量都含有这两个漏洞利用脚本。从理论上说,只要用户按时升级,就可以堵住这两个漏洞,但是,出于各种复杂的原因,还是有不少用户的电脑存在这上述漏洞。

金山毒霸的清理专家模块具有自动监测系统漏洞补丁升级的功能,一旦微软推出新的安全补丁,就会在第一时间为用户自动安装。因此毒霸用户不必担心系统安全。对于非毒霸用户,我们则建议下载安装金山安全实验室的网页防挂马工具"网盾",对潜在的漏洞建立拦截,阻止脚本木马通过网页挂马进入电脑。下载地址 http://labs.duba.net/wd.shtml