正在阅读：金山毒霸发布2009年9月互联网安全报告金山毒霸发布2009年9月互联网安全报告

　　十大病毒排行榜

　　此排行榜是根据金山毒霸云安全系统的监测统计，经过特殊计算后得出的参考数据，反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区，榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本，一些总感染量很高的病毒，因为变种较多，分摊到各变种上的感染量反而小，因此未列入此榜。

　　Win32.induc.a.820224 （Delphi梦魇）

　　展开描述：感染Delphi环境，从源头污染程序

　　症状：无任何症状

　　卡巴命名：Virus.Win32.Induc.a

　　NOD32命名：virus.Win32.Induc.A

　　这是一个针对Delphi程序员的病毒“Delphi梦魇”，它专门感染Delphi程序员的电脑，一旦成功，程序员今后写出的任何程序，都将带有该毒。

　　当随着被感染文件进入电脑系统，“Delphi梦魇”就开始检验系统中是否有Delphi环境。它通过循环检测注册表键值的方法查找dephi 的安装目录，如果找到dephi，就将恶意代码前排插入SysConst.pas文件，这个文件编译的时候，会生成SysConst.dcu，而这个文件会被添加到每个新的dephi工程中。于是，Delphi程序员们所编写的程序就全部带毒了。

　　该毒不具备破坏能行为，但由于其在技术和攻击方式上的突破，已经成为一些不法黑客借鉴和改造的对象，基于该毒改写的下载器已经在技术上实现，一旦被广泛利用，后果难以想像。而且目前国内除金山毒霸外，尚无别的杀软厂家具备查杀该毒的能力，这更加重了国内网络的危险。

　　Win32.troj.geralt.kb.190962（病毒寄生播放器）

　　展开描述：捆绑视频播放器、下载器，弹广告并下载木马

　　症状：弹出广告窗口，陌生进程迅速增多

　　卡巴命名：Trojan.Win32.Vilsel.gyj、Trojan.Win32.Vilsel.gpc

　　瑞星命名： Trojan.Win32.KillAV.caq\n、Worm.Win32.Autorun.sta\n

　　NOD32命名： Trojan.Win32.AntiAV.NCL,Trojan.Win32.AntiAV.NCL

　　这是一款依靠捆绑传播的木马程序，它会执行弹广告、下载木马等行为。该毒主要借助捆绑于流行的播放器来传播，比如最近比较受欢迎的Qvod。随着各种在线播放器的流行，木马团伙也找到了新的传播渠道：他们将木马捆绑在某些比较受欢迎的播放器或视频下载器中，然后设法欺骗用户下载经过他们改造的播放器，使得用户中招。

　　该毒的大部分样本被发现捆绑于非官方下载页面的Qvod播放器以及某些视频下载器中。金山毒霸安全专家分析，木马团伙是在一些论坛、社区或不良视频网站投放下载链接，然后以热播影片引诱用户下载。

　　一旦用户安装这些被动过手脚的播放器或下载器，木马就会立即运行起来，执行木马团伙设定的指令，主要是弹出广告窗口和下载其它木马。

　　Win32.troj.onlinegamest.oc.53400（网游帐号吞吃兽）

　　展开描述：盗取帐号

　　症状：游戏装备丢失，帐号密码总输不对

　　卡巴命名：Trojan-GameThief.Win32.Magania.bsvr、HEUR.Trojan.Win32.Generic

　　瑞星命名：Trojan.PSW.Win32.GameOL.yjw\n

　　NOD32命名：Trojan.Win32.PSW.OnLineGames.NRD

　　McAfee命名： PWS-OnlineGames.ek trojan

　　这是一个针对多款流行网游的盗号木马。它会盗取魔兽世界等著名游戏的账号密码信息，然后发送到病毒作者指定的地址。

　　该毒依靠挂马下载器和捆绑于其它文件的下载器的帮助，入侵用户电脑，可盗窃包括魔兽世界在内的一些流行网游的游戏账号，然后将其发送到病毒作者指定的地址，随后很快就会被职业的洗号者将游戏账号中可自由交易的物品全部盗走，用户及时找回账号，能得到的也只剩一个“一丝不挂”的游戏角色。

　　如发现系统中有此毒无法彻底删除，很可能是有未知下载器不断将该毒下载到电脑中，可下载运行金山安全实验室的“金山急救箱”，将下载器灭活，同时运行清理专家的漏洞检查功能，查看是否有安全漏洞需要更新。

　　“金山急救箱”下载地址 http://labs.duba.net/jjx.shtml

　　Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者）

　　展开描述： 模仿文件夹图标，欺骗用户点击

　　症状：U盘文件夹图标被替换，杀毒后文件夹丢失

　　卡巴命名： P2P-Worm.Win32.Agent.ta、Trojan-Dropper.Win32.Flystud.ko

　　瑞星命名： Trojan.Win32.ECode.ee\n、orm.Win32.Agent.aaq\n

　　NOD32命名： virus.Win32.Small.L、Worm.Win32.AutoRun.FlyStudio.GS

　　McAfee命名： W32.Madangel.b virus、W32.Fujacks.aw virus

　　Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者）是一个U盘病毒，它将用户系统中的文件夹图标全部变为自己的EXE文件，用户必须点击病毒文件才可进入文件夹。这使得病毒得以绕过系统或安全软件的U盘监控功能。如果该变种所携带的执行模块是广告插件，那么就会尽可能多的弹出广告网页。

　　该毒给很多用户带来的最大麻烦是它会将用户的文件隐藏起来，即使用户借助杀软将其删除，也难以恢复。这使得一些用户误以为是杀软将自己的文件夹删除。

　　使用金山安全实验室的急救箱，可完美解决该毒带来的这一问题。下载地址 <http://labs.duba.net/jjx.shtml>

　　Win32.troj.fakefoldert.yo.1406378（文件夹模仿者变种）

　　展开描述： 模仿文件夹图标，欺骗用户点击

　　症状：U盘文件夹图标被替换，杀毒后文件夹丢失

　　卡巴命名： Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af

　　瑞星命名：Trojan.Win32.ECode.ee\n、Trojan.Win32.ECode.ee\n

　　NOD32命名：Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ

　　McAfee命名： W32.Autorun.worm.dq virus、W32.Autorun.worm.ev virus

　　此毒为Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者）的一款变种，感染该毒后的所有症状完全一致。