正在阅读：金山毒霸2009年3月安全报告金山毒霸2009年3月安全报告

　　三月安全相关数据

　　新增病毒样本数：4,176,352个

　　病毒感染机器数：23,362,045台次

　　新增漏洞：34个，均为微软漏洞。

　　挂马网址：272,221个

　　十大病毒排行榜

　　此排行榜是根据金山毒霸云安全系统的监测统计，经过特殊计算后得出的参考数据，反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区，榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本，一些总感染量很高的病毒，如猫癣，因为变种较多，分摊到各变种上的感染量反而小，因此未列入此榜。至于脚本病毒，由于其特殊的攻击方式，我们将单独制作排行。

　　1、win32.vbt.hl.84701（无公害感染源）

　　展开描述：感染文件，帮助木马传播

　　卡巴命名：Virus.Win32.VB.bu

　　瑞星命名：Trojan.PSW.SBoy.a\n

　　N0D32命名：virus.Win32.Sality.NAC

　　麦咖啡命名：PWS-LegMir trojan

　　“无公害感染源”（win32.vbt.hl.84701）在2月时就已经是感染量排行很高的病毒。在3月份，它的感染量更是实现了“跨越式”发展，达到200万台次。

　　该病毒本身没有任何破坏能力，它只是单纯的感染用户电脑中的EXE文件，也不会干扰被感染文件的正常运行。但较以前的版本而言，代码中增加了一些用于与其它模块相连接的接口。看来病毒作者已经完成了测试，开始将该病毒投入实战。

　　尽管在感染文件后，“无公害感染源”依然不会直接破坏系统，却能与别的木马模块相配合了。至于它们“合体”后会有哪些危害，则要看木马执行模块的功能如何安排，不同的变种可能具有不同的功能。

　　2、win32.troj.small.ag.7680（迷你下载器AG）

　　展开描述：下载木马 存放于临时目录 占用系统资源

　　卡巴命名：Trojan-Downloader.Win32.Agent.bhyn

　　瑞星命名：Trojan.DL.Win32.Mnless.cbr\n

　　N0D32命名：Trojan.Win32.TrojanDownloader.Agent.OQW

　　这个木马下载器早在2月份就已经诞生了，不过当时感染量并不大，一直徘徊在1万以下。从3月4号起，它开始爆发，每天的感染量一路飙升，最高时达到7万余台次。

　　它是以一个dll文件的形式存在，行后会创建一个线程，解密自带的下载地址，从下载地址中下载另一些下载器，再利用这些下载器把一堆各式各样的盗号木马引到系统的临时目录下运行，伺机搜刮电脑中的各类网游帐号。

　　更特别的是，迷你下载器AG所下载的部分盗号木马也具有下载器功能，这就会造成进入用户电脑的恶意程序越来越多，随着它们陆续运行，系统资源会被逐渐蚕食，电脑变得越来越卡。

　　3、win32.troj.sysjunkt.hh（NS窥视器）

　　展开描述：加花加密，协助远程木马对抗杀软

　　卡巴命名：Trojan.Win32.BHO.kqd

　　瑞星命名：RootKit.Win32.Undef.bks\n

　　N0D32命名：Win32.Adware.Cinmus,Win32.Adware.Cinmus

　　麦咖啡命名：DNSChanger.gen trojan

　　“NS窥视器”（win32.troj.sysjunkt.hh）的3月份的总感染量为156万台次，与2月份相比略有增长。此病毒为一款远程木马的组成部分。它的真身是个经过加花的木马驱动。

　　一旦进入用户电脑，它就修改注册表服务项，将自己从属的木马冒充成系统进程，或采用随机命名的进程名，实现开机自启动。它在后台悄悄调用IE浏览器，连接到病毒作者指定的黑客服务器。

　　此病毒在3月份时，所协助的病毒除了远程后门外，还增加了一些广告木马。

　　4、win32.troj.encodeie.ao.524288    （传奇盗号下载器AO）

　　展开描述：盗窃《传奇》帐号，非法转移虚拟财产

　　卡巴命名：Trojan.Win32.BHO.nng

　　“传奇盗号下载器AO”（win32.troj.encodeie.ao.524288）曾一度以高达10万台次的感染量位居非脚本木马单日感染量排行的榜首。金山毒霸反病毒工程师对其分析后发现，它可以下载许多别的木马到用户电脑中运行，但其自身也具有盗号功能，根据变种的不同，可以利用内存注入、键盘记录、消息截获等多种手段盗取的就是《传奇》的帐号。

　　“传奇盗号下载器AO”无法自动传播，因此可以断定，它必然也是借助那些大肆挂马的脚本下载器进入用户电脑。这样一来，打齐系统补丁也就成了免受“传奇盗号下载器AO”骚扰的最简单办法。

　　5、win32.troj.onlinegamet.fd.295241    （网游盗号木马295241）

　　展开描述：疯狂盗窃网游帐号，侵吞玩家虚拟财产

　　卡巴命名：Worm.Win32.Downloader.zd

　　瑞星命名：Trojan.PSW.Win32.GameOL.udx\n

　　N0D32命名：Trojan.Win32.PSW.OnLineGames.NTM

　　“网游盗号木马295241”（win32.troj.onlinegamet.fd.295241），这是一个网游盗号木马。根据变种的不同，它可盗窃多款网游的帐号和密码。

　　这个盗号木马新变种的对抗能力依然很弱，之所以拥有如此大的感染量，是因为借助了一些比较流行的下载器的帮助。在2月份是，它是借助“猫癣”，而3月份，不少脚本下载器的下载列表中出现了它的身影。