正在阅读：金山毒霸2009年2月安全报告金山毒霸2009年2月安全报告

　　二月安全相关数据

　　增病毒样本数：3563762

　　新增漏洞：20个，其中微软漏洞18个，Adobe Reader漏洞1个，Adobe flash player漏洞1个。

　　被恶意挂马网址：115338个

　　十大病毒排行榜

　　此排行榜是根据金山毒霸云安全系统的监测统计，经过特殊计算后得出的参考数据，反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区，榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本，一些总感染量很高的病毒，如猫癣，因为变种较多，分摊到各变种上的感染量反而小，因此未列入此榜。至于脚本病毒，由于其特殊的攻击方式，我们将单独制作排行。

　　1.win32.troj.sysjunkt.hh（NS窥视器）

　　病毒特征：加花加密，协助远程木马对抗杀软

　　卡巴命名：Trojan.Win32.BHO.kqd

　　瑞星命名：RootKit.Win32.Undef.bks\n

　　N0D32命名：Win32.Adware.Cinmus,Win32.Adware.Cinmus

　　麦咖啡命名：DNSChanger.gen trojan

　　BitDefender命名：Trojan.Obfuscated.KU

　　自本月4号开始爆发后，“NS窥视器”（win32.troj.sysjunkt.hh）的感染量就一直居高不下。2月份的总感染量，高达1542180台次，现在，除最早发现的利用网页挂马和捆绑其它程序的办法外，该病毒部分变种的身影也出现在了一些下载器的下载列表中。

　　此毒为一款远程木马的组成部分。它的真身是个经过加花的木马驱动。

　　受到“NS窥视器”入侵的电脑，会在临时目录中出现一个nsy8199.tmp文件，文件开头两个字母为NS，这是它的一个典型标志。

　　一旦进入用户电脑，它就修改注册表服务项，将自己从属的木马冒充成系统进程，或采用随机命名的进程名，实现开机自启动。它在后台悄悄调用IE浏览器，连接到病毒作者指定的黑客服务器，只要完成连接，用户的电脑就会被黑客彻底控制。至于具体利用受害电脑来干什么，就由黑客决定。

　　2.win32.vbt.hl.84701（无公害感染源）

　　病毒特征：感染文件，帮助木马传播

　　卡巴命名：Virus.Win32.VB.bu

　　瑞星命名：Trojan.PSW.SBoy.a\n

　　N0D32命名：virus.Win32.Sality.NAC

　　麦咖啡命名：PWS-LegMir trojan

　　BitDefender命名：Trojan.PWS.OnlineGames.WJP

　　“无公害感染源”（win32.vbt.hl.84701）这个老牌病毒的保守感染量在2月份又有了大幅的上升，达到近87万台次。

　　“无公害感染源”本身没有任何破坏能力，它只是单纯的感染用户电脑中的EXE文件，也不会干扰被感染文件的正常运行。但较以前的版本而言，代码中增加了一些用于与其它模块相连接的接口。看来，病毒作者已经完成了测试，开始将该病毒投入实战。

　　尽管在感染文件后，病毒依然不会直接破坏系统，却能与别的木马模块相配合了。至于它们“合体”后会有哪些危害，则要看木马执行模块的功能如何安排，不同的变种可能具有不同的功能。

　　3.win32.troj.iagent.ie.1118208（伪装搜索者）

　　病毒特征：非法记录用户上网数据，弹出广告

　　卡巴命名：not-a-virus.AdWare.Win32.WSearch.

　　瑞星命名：AdWare.Win32.Agent.ctw\n

　　N0D32命名：Win32.Adware.WSearch

　　BitDefender命名：Adware.Generic.52164

　　“伪装搜索者”（win32.troj.iagent.ie.1118208）这个木马本身不具备破坏能力，在用户电脑中只是干些偷偷记录上网记录的勾当。在金山毒霸云安全系统的统计，上月该病毒保守感染量为74万台电脑。

　　这个木马的母体，主要是借助下载器的帮助或着是伪装成某些绿色小软件欺骗用户下载，进入电脑后，母体就解压自己，释放出“伪装搜索者”和其它模块。这些模块的功能五花八门，有的能执行洪水攻击，有的能连接远程黑客服务器，还有些只能发信。

　　而“伪装搜索者”（win32.troj.iagent.ie.1118208）这一模块，则是记录用户访问过的网址，将它们与自带的地址列表比对后，发送给通讯模块，由通讯模块将这些数据发送出去。这样的行为，应该是在为广告软件服务，目的是了解用户的上网习惯，以便制作精确的广告投放。

　　4.win32.troj.onlinegamet.fd.295241    （网游盗号木马295241）

　　病毒特征：疯狂盗窃网游帐号，侵吞玩家虚拟财产

　　卡巴命名：Worm.Win32.Downloader.zd

　　瑞星命名：Trojan.PSW.Win32.GameOL.udx\n

　　N0D32命名：Trojan.Win32.PSW.OnLineGames.NTM

　　BitDefender命名：Trojan.Generic.1393932

　　“网游盗号木马295241”（win32.troj.onlinegamet.fd.295241），这是一个网游盗号木马。根据变种的不同，它可盗窃多款网游的帐号和密码。该病毒最早出现于去年9月上旬，这次以新变种的身份再次作乱。目前发现的主要传播方式时借助木马下载器的帮助。

　　这个盗号木马新变种的对抗能力其实并不强，与去年9月时的版本相比，几乎就没有技术上的变化，只不过调整了几个盗窃目标的参数，以便能盗窃更多游戏而已。

　　但由于借助了一些比较流行的下载器的帮助（比如猫癣等），它近来的感染量有所增加，保守感染量为722300台次。

　　5.win32.troj.pebinder.vi.425984    （木马下载器425984）

　　病毒特征：下载病毒木马，窃取机密数据

　　卡巴命名：Trojan.Win32.Zapchast.ro

　　瑞星命名：Dropper.Win32.Undef.oz\n

　　N0D32命名：Trojan.Win32.TrojanDownloader.Agent.OUG

　　BitDefender命名：Dropped:Generic.Malware.P!BTk.8DEE9164

　　“木马下载器425984”（win32.troj.pebinder.vi.425984）是一个木马下载器程序，它能下载大量的盗号木马和远程控制木马到用户电脑中运行，这些木马能盗窃用户电脑中有价值的信息，甚至控制用户电脑去做黑客所希望的事情。

　　“木马下载器425984”母体的对抗能力并不强，必须借助专门的对抗模块来对付杀毒软件。目前主要依靠JS脚本木马来进行传播，当用户电脑中了某些JS挂马后，这些挂马就会下载此病毒，然后由它来执行更复杂的下载任务。

　　2月，此病毒的感染成绩为635784台次，这个数字不小，值得重视。而防御“木马下载器425984”最好的办法就是打齐系统补丁。