2008年上半年十大病毒/木马介绍

　　2008年上半年十大病毒/木马

　　根据病毒危害程度、病毒感染率以及用户的关注度，计算出综合指数，最终得出以下十大病毒/木马为2008年上半年最危险的病毒/木马。

　　危害程度：分5级，最高级为5。我们将危害的种类分为：A→破坏或感染用户系统\终止杀毒软件，B→盗取用户信息，C→能进行自我传播，D→广告行为，E→下载其它木马。

　　5级：具有上述四种及以上行为的病毒/木马
　　4级：具有述任意三种行为的病毒/木马
　　3级：具有C行为加任意一种行为的病毒/木马
　　2级：具有A B C任意一种行为的病毒/木马
　　1级：具D E任意一种行为的病毒/木马

　　病毒感染：对于广义的病毒定义来讲，本文所指感染包括病毒感染或木马入侵。

　　病毒感染率：该病毒感染或入侵的计算机台数占总感染（或入侵）台数的比率，为方便统计，统称为感染率，下同。

　　用户关注度：我们收集用户对病毒的关注数据，如：论坛讨论热度的评估，新闻及病毒分析报告的点击率或关键字热度，将其分为3级，热门、高度、普通。

图4 2008年上半年十大病毒/木马

　　1.机器狗病毒

　　机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为“机器狗”，该病毒变种繁多，多表现为杀毒软件无法正常运行。该病毒的主要危害是充当病毒木马下载器，与AV终结者病毒相似，病毒通过修改注册表，让大多数流行的安全软件失效，然后疯狂下载各种盗号工具或黑客工具，给用户电脑带来严重的威胁。

　　机器狗病毒直接操作磁盘以绕过系统文件完整性的检验，通过感染系统文件（比如explorer.exe，userinit.exe,winhlp32.exe等）达到隐蔽启动；通过底层技术穿透冰点，影子等还原系统软件导致大量网吧用户感染病毒，无法通过还原来保证系统的安全。

　　通过修复SSDT（就是恢复安全软件对系统关键API的HOOK），映像挟持，进程操作等方法使得大量的安全软件失去作用；联网下载大量的盗号木马给广大网民的网络虚拟财产造成巨大威胁，部分机器狗变种还会下载ARP恶意攻击程序对所在局域网（或者服务器）进行ARP欺骗影响网络安全。

　　2.磁碟机病毒

　　这是一个下载者病毒,会关闭一些安全工具和杀毒软件并阻止其运行；并会不断检测窗口来关闭一些杀毒软件及安全辅助工具 ,对于不能关闭的某些辅助工具会通过发送窗口信息洪水使得相关程序因为消息得不到处理处于假死状态；破坏安全模式,删除一些杀毒软件和实时监控的服务, 远程注入到其它进程来启动被结束进程的病毒,,病毒会在每个分区下释放 AUTORUN.INF来达到自运行. 感染除SYSTEM32目录外其它目录下的所有可执行文件。 并且会感染RAR压缩包内的文件。

　　3.AV终结者

　　禁用所有杀毒软件以及大量的安全辅助工具，让用户电脑失去安全保障；破坏安全模式，致使用户根本无法进入安全模式清除病毒；强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法；在磁盘根目录下释放autorun.inf利用系统自播放功能如果不加以清理，重装系统以后也可能反复感染。

　　4.OnlineGames系列盗号木马

　　这是一类盗号木马系列的统称，这类木马的特点就是通过进程注入盗取流行的各大网络游戏（魔兽，梦幻西游等）的帐号从而通过买卖装备获得利益。这类病毒本身一般不会对抗杀毒软件，但经常伴随着AV终结者、机器狗等病毒出现。

　　5.SWFExploit病毒

　　SWFExploit生成器的产生：由于adobe flash player这个软件广泛存在于大多数电脑上，因此，当这个软件的漏洞一经公布，利用它的病毒就迅速爆发。这些病毒利用adobe flash player中一段有BUG的代码，精心构造数值。它们修改了adobe flash player中关于安全验证的模块的数据，让自己的代码可以绕过安全监控，直接在电脑中运行。

　　这样一来，只要用户电脑中的adobe flash player没有打上补丁，那么当他们访问挂马网页时，病毒就会感染电脑，并下载其它的大量病毒程序到他们的电脑上运行。（这些被下载的病毒，大多为木马下载器，它们进入用户电脑后带来的明显危害，就是给用户电脑里塞满了大量的盗号木马，可能会将电脑中有价值的帐号密码都偷得一干二净）

　　6.大水牛下载者

　　大水牛病毒是一个盗号木马下载者，该病毒学习机器狗，加入了驱动恢复SSDT使得安全软件的主动防御失效；注入系统进程通过hook系统底层API来隐藏自己的文件和注册表键值使得部分安全辅助工具不能检测到病毒的存在；通过进程操作和窗口监视对抗常见安全软件；下载机器狗，盗号木马，ddos恶意攻击工具使得用户电脑处于极度危险的状态。

　　7.Auto木马下载者

　　此类病毒的主要传播途径是U盘、移动硬盘等移动存储设备。此病毒通常利用Autorun.inf的自动播放功能来启动自身，运行以后会破坏安全模式，隐藏文件的显示等系统默认设置来避免被删除，该类病毒同样具有下载功能，会下载大量的盗号木马、流氓软件到用户电脑安装，用户系统稳定性下降容易蓝屏、网络虚拟财产安全得不到保障。

　　8.Rootkit系列病毒

　　这类病毒经常伴随着OnlineGames系列病毒出现。这类病毒使用Rootkit技术来隐藏加载OnlineGames系列病毒。还会通过驱动来恢复SSDT Inline HOOK， 使得杀毒软件失去对系统的保护功能。通过rootkit技术盗号木马能够更有效地盗取帐号密码。

　　9.Downloader系列下载者

　　这类病毒是典型的盗号木马下载者。通过映像挟持，进程操作，窗口监控等方式对抗杀毒软件、会下载安装大量盗号木马到用户电脑。Downloader系列下载者在下载执行完盗号木马后，会自动删除，原程序不会驻留用户计算机。给杀毒软件获取样本分析带来了麻烦。

　　10.PCClient后门

　　黑客通常利用端口扫描或者漏洞扫描工具获取目标程序然后植入到目标系统，一旦安装成功就可以像控制自己电脑一样远程控制用户计算机。可以盗取用户重要文件、监控用户摄像头音频、盗取网游帐号，用户计算机沦为“肉鸡”后，也会被黑客用来攻击服务器等等。