十大病毒排行榜（1）

金山毒霸发布2009年7月互联网安全报告

CBSi中国·ZOL 中关村在线【原创】 2009年08月10日 18:24 评论

　　十大病毒排行榜

　　此排行榜是根据金山毒霸云安全系统的监测统计，经过特殊计算后得出的参考数据，反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区，榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本，一些总感染量很高的病毒，因为变种较多，分摊到各变种上的感染量反而小，因此未列入此榜。

金山毒霸发布2009年7月互联网安全报告

　　1.Win32.troj.gameolt.zg.61529（网游盗号木马ZG）

　　展开描述：盗窃网游帐号，洗劫虚拟财产

　　症状：游戏密码错误，装备丢失，网游帐号被盗

　　卡巴命名:Trojan-GameThief.Win32.Magania.bjlw、HEUR.Trojan.Win32.Generic

　　瑞星命名:Trojan.PSW.Win32.GameOLx.cp\n

　　NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD

　　麦咖啡命名:PWS-OnlineGames.ektrojan

　　该毒是一个针对网络游戏的盗号木马程序，它能盗窃多款流行网游的账号密码信息。此毒在7月出现感染量高增长，很大程度上是得益于频发的0day漏洞问题。

　　大量的0day漏洞为各类脚本下载器的挂马传播提供了有利条件，而脚本下载器在进入系统后，就会下载不少传统的木马。Win32.troj.gameolt.zg.61529正是在这样的情况下，实现感染量的大幅增长的。而如果用户发现自己电脑中不断出现此毒，那么表明系统中已经潜入了某款未知下载器，这种情况，可下载运行金山安全实验室的"金山急救箱"，对未知下载器灭活即可。

　　2.Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者）

　　展开描述：模仿文件夹图标，欺骗用户点击

　　症状：U盘文件夹图标被替换，杀毒后文件夹丢失

　　卡巴命名:P2P-Worm.Win32.Agent.ta、Trojan-Dropper.Win32.Flystud.ko

　　瑞星命名:Trojan.Win32.ECode.ee\n、orm.Win32.Agent.aaq\n

　　NOD32命名:virus.Win32.Small.L、Worm.Win32.AutoRun.FlyStudio.GS

　　麦咖啡命名:W32.Madangel.bvirus、W32.Fujacks.awvirus

　　Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者），7月份继续保持高感染量，牢牢坚守着感染量第一的领先位置。

　　此毒是一个U盘病毒，它将自己的图标伪装成系统文件夹的样子，用户在U盘中看到一个陌生文件夹时，多半都会去点击。如此一来，即使用户禁止了U盘自动播放，该毒依然能够实现运行。运行后，此毒会下载一些别的恶意程序，执行多种破坏行为。

　　此外，有一些脚本挂马也会帮助该毒传播，一旦它们利用系统安全漏洞攻入电脑，就会立即下载包括"文件夹模仿者"在内的其它恶意程序。

　　根据变种的不同，此毒会呈现多种症状，其中比较明显的一种，是用户系统中的文件夹全部变为病毒的EXE文件，用户必须点击病毒文件才可进入文件夹。这使得病毒得以多次运行，如果该变种所携带的执行模块是广告插件，那么就会尽可能多的弹出广告网页。

　　3.Win32.troj.fakefoldert.yo.1406378（文件夹模仿者变种）

　　展开描述：模仿文件夹图标，欺骗用户点击

　　症状：U盘文件夹图标被替换，杀毒后文件夹丢失

　　卡巴命名:Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af

　　瑞星命名:Trojan.Win32.ECode.ee\n、Trojan.Win32.ECode.ee\n

　　NOD32命名:Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ

　　麦咖啡命名:W32.Autorun.worm.dqvirus、W32.Autorun.worm.evvirus

　　此毒为Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者）的一款变种，感染该毒后的所有症状均一致。它在7月脱离了Win32.Troj.FakeFolderT.yl.1407388的"战壕"，不再与其保持同步的感染数据变化，感染量明显减小，不过仍位列TOP10中。

　　而由于它的参战，文件夹模仿者系列成为7月总感染量最高的病毒。。

　　4.Win32.troj.cfgt.ex.38507(CFG网游盗号器变种)

　　展开描述：依靠网页挂马传播，盗窃网游帐号

　　症状：游戏密码失效，装备丢失，网游帐号被盗

　　卡巴命名:Trojan-GameThief.Win32.Magania.Bdax、Trojan-PSW.Win32.LdPinch.afvu

　　瑞星命名:Trojan.PSW.Win32.GameOL.zql\n、Trojan.PSW.Win32.XYOnline.alv\n

　　NOD32命名：Trojan.Win32.PSW.OnLineGames.NRD

　　"CFG网游盗号器变种"（win32.troj.cfgt.ex.38507）7月份继续上榜，并且保持了与6月时相同的排名。这款盗号木马主要依靠网页挂马传播，能盗取多款流行网游的账号和木马。如果用户系统中存在安全漏洞，就很容易受到脚本下载器的攻击。然后脚本下载器就会直接下载此毒，或者先下载一个类似宝马下载器这样的普通下载器，再下载此盗号木马。

　　打齐系统补丁是防御此毒的最好办法，只要堵住系统中的安全漏洞，感染"CFG网游盗号器变种"（win32.troj.cfgt.ex.38507）的几率就会大大减小。

　　如果毒霸频繁提示发现此毒，表明系统中很可能存在未知的下载器，造成每次删除后又再次下载。这种情况不用慌，只需安装并运行金山安全实验室免费提供的"金山急救箱"，对未知下载器进行灭活，即可解决问题。

　　5.Win32.trojdownloader.bmwat.ex.117184（宝马下载器变种）

　　展开描述：变种数量大，频繁免杀，下载恶意程序

　　症状：杀软失效，系统运行变卡，系统中出现大量不明文件，网游帐号被盗

　　卡巴命名：Trojan-Dropper.Win32.Mudrop.aht、Trojan-Dropper.Win32.Mudrop.afr

　　瑞星命名：Trojan.Win32.KillAV.bem\n、Trojan.Win32.KillAV.bfd\n

　　NOD32命名：Trojan.Win32.Genetik

　　麦咖啡命名：StartPage-HRtrojan

　　"宝马下载器"具备有对抗杀毒软件的能力，会采用多种方式尝试中止杀软进程或禁止杀软的服务，甚至还会释放驱动来用于穿透系统还原保护和某些杀软的"主动防御"。随后下载各种恶意程序到电脑上执行。

　　宝马系列在7月的上半月时，曾出现过一段时间的"偃旗息鼓"，虽然Win32.trojdownloader.bmwat.ex.117184这个变种的感染量较高，可其它变种却几乎不见了踪影。直到下半月，才出现了多款突然爆发的新变种。