江民发布2006年病毒疫情报告
2018-06-11 来源:
2007年1月10日,国内最大的计算机反病毒厂商江民科技发布2006年计算机病毒疫情报告以及十大病毒排行。
根据江民全球病毒监测网(国内部分)、江民病毒预警中心、客户服务中心等多个部门联合监测统计,2006年1月到2006年12月,江民反病毒中心共截获新病毒60383种,较2005年增长56%,江民KV病毒预警中心显示,2006年全国共有19319658台计算机感染了病毒,感染计算机病毒66606种。
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
(计算机病毒增长柱形图,数据来源:江民科技)
2006年计算机病毒整体情况及特征
2006年上半年计算机病毒增长相对缓和,下半年增长迅猛。江民反病毒中心共截获新病毒60383种,监测发现共感染计算机19319658台,其中木马病毒感染7515347台,占病毒总数的38.9%,流氓软件感染5390184台,占病毒总数的27.9%,后门病毒感染2646793台,占病毒总数的13.7%,蠕虫病毒感染2086523台,占病毒总数10.8%,脚本病毒1680810台,占病毒总数的8.7%。
(2006年上半年计算机病毒增长相对缓和,下半年增长迅猛)
监测结果显示,2005年被首次发现的“威金”病毒在2006年下半年开始发威,病毒具备了木马和蠕虫的双重特征,并且能够通过网络传播,众多中小企业局域网被该病毒攻击瘫痪,2006年该病毒被用户上报的次数达36728393次,感染了446450台电脑,无论从病毒的传播范围还是在破坏性上,“威金”都远远超过其它病毒,成为2006年名副其实的“毒王”。 2006年上半年被评为毒王的“灰鸽子”病毒从下半年开始被“威金”病毒抢了风头,位居第二。
木马仍然是2006年流行的主流病毒,其中又以木马下载器以及盗号木马为主。木马下载器可以从指定的网址自动下载木马或恶意代码,“盗号木马”运行后盗取用户的账号、密码等信息发送到指定的信箱或网页。排名第四和第五、第七的三大病毒 “传奇窃贼”和“QQ盗号木马”“落雪”的主要特征就是盗号窃密。但其流行和感染程序较上半年有明显降低,这跟用户的安全意识提高和杀毒厂商的不懈努力有关。
2006年也是“流氓软件”的爆发年,在电脑用户已感染的病毒中,“QQ表情”等广告间谍软件(俗称“流氓软件”)名列十大病毒排行之列,成为2006年互联网新威胁。江民反病毒专家分析,造成此类广告间谍软件程序大肆泛滥的原因主要是利益驱使,由于QQ拥有国内最庞大的用户群,因此受到广告商和广告间谍程序作者的格外“青睐”。
此外,2006年计算机病毒还呈现出以下六大特征:
一、 经济利益驱使计算机病毒技术不断突破
“经济利益”成为目前病毒制造者不断追求技术突破的源动力,受此利益驱使,2006年电脑病毒的感染率呈爆炸式增长,网络经济犯罪率不断增加,病毒的绝大部份变化都是围绕此中心展开的。而且病毒制造者已经不仅仅是玩技术的“黑客”,已经演变成有经济基础,有组织,有目的的网络攻击,从而网络犯罪率急剧攀升,一个职业网上经济盗窃行业悄悄地诞生,有人偷窥别人隐私,盗取别人的银行帐号、密码,有人想获取免费的游戏装备,有人偷取别人的QQ帐号,Q币,有人想提高网站流量,捆绑强制安装,无法卸载……,在巨大的经济利益诱惑下,病毒制造者的技术力量也有了飞跃式的发展。
ROOTKIT隐藏技术以及对抗杀毒软件技术被广泛应用。“灰鸽子”及其变种使用Rootkit技术自我隐藏,包括病毒文件、注册表键值等等都可以被隐藏,普通用户很难发现。“威金”病毒、“落雪”木马及其变种全部具有对抗反病毒软件的功能,能终止多款国内外知名的杀毒软件。除此之外,2006年传播十分广泛的流氓软件技术也不断升级,这些软件为了牟利,已经不仅仅局限于使用小程序,还借助木马病毒进行传播。
2006年被江民反病毒中心率先截获的国内首例敲诈病毒,通过隐藏用户硬盘数据造成造成用户数据“丢失”的假象,敲诈用户的钱财,给中毒电脑用户带来巨大的精神和财产损失,可见病毒制造者的牟利目的已经十分明显。
二、微软0DAY漏洞频繁爆出引发病毒攻击
2006年微软总共发布安全补丁数量达到78个,创下了新记录,比2002年的72个还多6个,其中“Oday”攻击漏洞成为主要的增长点。 2006年春节前后,早在2005年12月份就被曝光的WMF漏洞成2006年电脑安全第一场噩梦。 2006年12月28日,江民反病毒中心监测到,Windows在处理特殊WMF文件(也就是图元文件)时存在问题,可以导致远程代码执行,如果用户使用Windows图片传真查看程序打开恶意WMF文件,甚至在资源管理器中预览恶意WMF时,也都存在代码执行漏洞。2006年8月13日,江民公司反病毒中心发布紧急病毒警报,一利用微软5天前刚刚发布的MS06-040漏洞传播的“魔鬼波”(Backdoor/Mocbot.b)蠕虫现身互联网,感染该蠕虫的计算机将被黑客远程完全控制。8月24日, “瑞波”(Backdoor/RBot)蠕虫新变种同样利用微软的MS06-040等多种系统漏洞大肆传播。微软0DAY漏洞成为病毒制造者的乐园。
三、网银病毒迅猛增长 两年增600倍
从2004年8月到2006年10月期间,全国感染各类网银木马及其变种的用户数量增长了600倍,用户每月感染病毒及其变种的数量约有160种左右,而且病毒发展正在呈加速上升趋势。江民反病毒专家介绍,2004年全国被网银木马感染的计算机数量只有60台,2005年为1100台,而在2006年前10个月,已经有超过37000台电脑感染过网银木马,3年时间国内用户被网银木马感染的数量增长了600倍。
四、病毒传播呈现新特征,锁定目标定向传播
病毒的传播不再是盲目的、无目的的传播,而是针对可能获取利益的群体进行定向传播。比如06年的光大证券被挂网银木马事件,网银在线被挂黑洞病毒事件,病毒制造者的目标都对准了那些股民以及经常使用网上银行的用户。其它象盗取网络游戏的木马一般在网络游戏论坛、游戏中、外挂网站等处进行传播,或通过攻陷相关网站在网页挂马,或发布带毒帖子和链接,或者发布带病毒的游戏外挂。
五、病毒变种快、更新快、存活能力强
2006年各种木马病毒变种都非常多,老木马“灰鸽子”,几乎每天都会有10多个不同的变种,迄今为止共出现了13379种变种。而在江民科技的样本上报系统中,威金病毒最多一天竟然有292个不同的变种。
2006年,很多木马都具有自升级功能,可以迅速的在较短的时间内更新自身,防止被杀病毒软件查杀。更多的木马采用传统病毒的感染文件技术,甚至可以定向感染极少数的正常程序,使得即便自身被杀,仍然有机会死灰复燃。
六、智能手机成病毒的下一个攻击目标
随着智能手机的普及,利用智能手机上网浏览、下载彩铃、彩信、看电影的用户越来越多,应用的普及不可避免地带来安全隐患,据一项调查显示,2006年智能手机用户数量近4000万左右,而手机病毒也增长了450%。智能手机已经具备了与电脑几乎同样的功能,完全可以满足普通用户的日常应用需求,而智能手机丰富的通讯和数据交换功能也为病毒传播提供了可能,红外、蓝牙等无线技术为病毒传播提供了捷径,手机存储卡的应用及容量的不断增大为病毒提供了生存空间。彩信、彩玲、E-mail等都可能成为病毒的载体。2006年被截获的手机病毒预示着反病毒的下一个战场必将是智能手机和手持互联网终端设备。
2006年十大计算机病毒排行
2006年1月10日,江民反病毒中心根据病毒的破坏能力以及传播范围,公布了2006年十
大病毒排行:
序号 |
病毒变种数 |
上报次数 |
感染计算机数 |
英文名 |
中文名 |
1 |
520 |
36728393 |
446450 |
Worm/Viking |
威金蠕虫 |
2 |
13379 |
6392600 |
897592 |
Backdoor/Huigezi |
灰鸽子后门 |
3 |
1983 |
4483989 |
1582345 |
Adware/QQHelper |
多多Q Q表情 |
4 |
1414 |
4580158 |
615901 |
Trojan/PSW.QQPass |
QQ盗号木马 |
5 |
1896 |
4033649 |
739169 |
Trojan/PSW.LMir |
传奇窃贼 |
6 |
535 |
1288152 |
433920 |
Adware/Adload |
埃德罗 |
7 |
510 |
1095735 |
157846 |
Trojan/PSW.GamePass |
落雪木马 |
8 |
210 |
864276 |
42838 |
TrojanSpy.Banker |
工行钓鱼木马 |
9 |
35 |
196468 |
123404 |
Backdoor/HookSSDT |
隐形门 |
10 |
633 |
227240 |
20351 |
I-Worm/Warezov |
龌龊虫 |
(2006年十大病毒排行 数据来源:江民科技)
2006年十大病毒档案
1, 病毒名称:Worm/Viking
变种数量: 520
累计感染计算机: 446450
累计感染文件: 36728393
病毒中文名:“威金蠕虫”
病毒类型:蠕虫
危险级别:★★★☆
影响平台:Win2003/XP/2000/NT/9x/ME
描述:威金蠕虫感染Windows可执行文件,并会查找局域网中所有的共享计算机,尝试猜解它们的密码,试图感染这些计算机。该病毒还会自动在后台下载并窃取网络游戏玩家的账号和密码,并发送给黑客。同时,该病毒还会下载一个QQ病毒,自动向用户的QQ好友发送内容为“看看啊。我最近的照片~才扫描到QQ相册上的!”的消息并附带一个网址,其他用户点击消息中的网址就可能被病毒感染。
2,病毒名称: Backdoor/Huigezi
变种数: 13379
累计感染计算机: 897592
累计上报次数: 6392600
病毒中文名:“灰鸽子后门”
病毒类型:后门
危险级别:★☆
影响平台: Win 9X/ME/NT/2000/XP/2003
描述:Backdoor/Huigezi.2006.ekr“灰鸽子2006”变种ekr是一个未经授权远程访问用户计算机的后门。“灰鸽子2006”变种ekr运行后,自我复制到系统目录下。修改注册表,实现开机自启。侦听黑客指令,记录键击,盗取用户机密信息(例如,拨号上网密码,URL密码,共享密码)。另外,“灰鸽子2006”变种ekr还可以下载并执行特定文件,开启或关闭CD-ROM等。
3,病毒名称:Adware/QQHelper
变种数:1983
累计感染计算机: 1582345
累计上报次数: 4483989
病毒中文名:“多多QQ表情”
病毒类型:间谍软件
危险级别:★★★☆
影响平台: Win 9X/ME/NT/2000/XP
描述:“QQ多表情”变种是一个间谍广告软件,由VC++.NET工具编写,随着QQ多表情软件安装到用户电脑中,生成文件:C:\Windows\system32\res.exe该程序采用RootKit 技术隐藏自身进程,会干扰IE的正常运行,使系统的的运行速度变慢。
4, 病毒名称:Trojan/PSW.QQPass
变种数: 1414
累计感染计算机: 615901
累计上报次数: 4580158
病毒中文名:“QQ盗号木马”
病毒类型:木马
危险级别:★
影响平台:Win9X/2000/XP/NT/Me
描述: Trojan/QQPass.ak是用Delphi编写并经UPX压缩的木马,用来窃取游戏"传奇"信息。
传播过程及特征:
1.创建下列文件:
%System%\winsocks.dll, 91136字节
%Windir%\intren0t.exe, 91136字节
2.修改注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Intren0t" = %Windir%\intren0t.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Intren0t" = %Windir%\intren0t.exe
这样,在Windows启动时,病毒就可以自动执行。
注:%Windir%为变量,一般为C:\Windows 或 C:\Winnt;
%System%为变量,一般为C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
5, 病毒名称: Trojan/PSW.LMir
变种数: 1896
累计感染计算机: 739169
累计上报次数: 4033649
病毒中文名:“传奇窃贼”
病毒类型:木马
危险级别:★
影响平台: Win 9x/2000/XP/NT/Me
描述:传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后,主程序文件自己复制到系统目录下。修改注册表,实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后,会自动重启。窃取“传奇2”帐号密码,并将盗取的信息发送给黑客。
6, 病毒名称:Adware/Adload (埃得罗)
变种数量: 535
累计感染计算机: 433920
累计上报次数: 1288152
病毒中文名:“埃得罗”
病毒类型:木马
危险级别:★☆
影响平台:Win2003/XP/2000/NT/9x/ME
描述:这是一个广告程序,该病毒在目标系统中生成病毒文件。%System%inituser.exe运行时将资源段中的代码注入explorer.exe。该病毒尝试下载其他文件,并会收集客户机的信息。
7, 病毒名称:Trojan/PSW.GamePass
变种数量: 510
累计感染计算机: 157846
累计上报次数: 1095735
病毒中文名:“落雪木马”
病毒类型:木马
危险级别:★☆
影响平台:Win2003/XP/2000/NT/9x/ME
描述:“落雪”木马也叫“游戏大盗”,由VB 程序语言编写,通过 nSPack 3.1 加壳处理(即通常所说的“北斗壳”North Star),该木马文件图标一般是红色的图案,伪装成网络游戏的登陆器。病毒运行后,在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件,病毒文件之多比较少见,,事实上这14个不同文件名的病毒文件系同一种文件。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了 .com。这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件Msconfig.exe的时候,一般习惯上输入 Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件 Msconfig.com ,病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把 winlogon.exe 的路径指向c:\windows\winlogon.exe,而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe,以此达到迷惑用户的目的。除了在C盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击html文件时,都会运行病毒。此外,病毒还在D盘下生成一个自动运行批处理文件,这样即使C盘目录下的病毒文件被清除,当用户打开D盘时,病毒仍然被激活运行。
8,病毒名称: TrojanSpy.Banker
变种数: 210
累计感染计算机: 42838
累计上报次数: 864276
病毒中文名:“工行钓鱼木马”
病毒类型:木马
危险级别:★★★
影响平台:Windows 98/ME/NT/2000/XP/2003
描述:这是一个十分狡猾的盗取网上银行密码的木马病毒。病毒运行后,在系统目录下生成svchost.exe文件,然后修改注册表启动项以使病毒文件随操作系统同时运行。 病毒运行后,会监视微软IE浏览器正在访问的网页,如果发现用户在工行网上银行个人银行登录页面上输入了帐号、密码,并进行了提交,就会弹出伪造的IE窗,内容如下: “为了给您提供更加优良的电子银行服务,6月25日我行对电子银行系统进行了升级。请您务必修改以上信息!”病毒以此诱骗用户重新输入密码,并将窃取到的密码通过邮件发送到一个指定的163信箱。该病毒同时还会下载灰鸽子后门病毒,感染灰鸽子的用户系统将被黑客远程完全控制。
9, 病毒名称:Backdoor/HookSSDT
变种数量: 35
累计感染计算机: 123404
累计上报次数: 196468
病毒中文名:“隐形门”
病毒类型:后门
危险级别:★★
影响平台:Win2003/XP/2000/NT/9x/ME
描述:Backdoor/HookSSDT.b“隐形门”可开启用户计算机的后门,篡改Windows系统文件,导致任务管理器等一些程序显示错误信息。利用rootkit隐藏自我,防止被查杀。
10,病毒名称: I-Worm/Warezov
变种数量: 633
累计感染计算机: 20351
累计上报次数: 227240
病毒中文名:“龌龊虫”
病毒类型:蠕虫
危险级别:★★
影响平台:win 9x/me/nt/2000/xp/2003
描述:i-worm/warezov.ja“龌龊虫”变种ja是一个利用群发带毒邮件进行传播的网络蠕虫。“龌龊虫”变种ja运行后,自我复制到系统目录下,文件名由10个任意字母组成,后缀是.exe。弹出虚假升级成功信息框。修改注册表,实现开机自启。在Windows目录下释放病毒文件。强行篡改ie浏览器设置,连接指定站点,下载病毒文件。从被感染计算机上搜索有效邮箱地址,群发带毒邮件。
标签: ssd 安全 代码 防火墙 互联网 脚本 漏洞 排名 企业 搜索 网络 网站 问题 行业 隐私 用户
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。