正在阅读：金山毒霸发布2009年9月互联网安全报告金山毒霸发布2009年9月互联网安全报告

　　Win32.trojdownloader.agent.151552（小广告下载器）

　　展开描述：弹广告并且下载其它木马的流氓插件

　　症状：IE浏览器自动弹出窗口，陌生进程增多

　　卡巴命名： Trojan-Downloader.Win32.Agent.cqlm、Trojan-Dropper.Win32.StartPage.aw

　　瑞星命名：Trojan.Win32.StartPage.nbk\n

　　NOD32命名：Trojan.Win32.StartPage.NMW

　　该毒为一款能修改IE浏览器默认主页的流氓程序，它同时也具备下载器的功能，会下载一些别的恶意程序到电脑中运行。

　　它在进入系统后，会将IE浏览器的默认主页修改成病毒作者指定的地址，以便在用户每次启动IE时弹出广告。但由于它加入了下载器功能，会下载更多的其它木马，因而带来的潜在影响就更大。病毒作者可以通过修改下载列表，把任何一种病毒木马传输到用户电脑中。

　　此毒在9月末的最后几天爆发，迅速飙升为单日感染量最高的病毒，金山毒霸反病毒工程师预计，这一病毒在10月初依然会保持这样的强势。

　　Win32.pswtroj.gameol.226416 （网游盗号者OL）

　　展开描述：盗窃网游账号

　　症状：游戏突然中断，账号无法登陆，装备无故丢失

　　卡巴命名：Trojan-GameThief.Win32.Magania.bzjz

　　瑞星命名：Trojan.PSW.Win32.GameOL.yjw\n

　　NOD32命名：Trojan.Win32.PSW.OnLineGames.NRD

　　McAfee命名：PWS-OnlineGames.ek trojan

　　“网游盗号者OL”（win32.pswtroj.gameol.226416）在9月初时，感染量曾呈现出快速增长的势头。金山毒霸安全专家认为是有病毒团伙在背后进行推广有关。

　　该盗号木马的行为非常简单，但是却在如此短的时间内传播得如此广，通过对金山云安全系统捕获的病毒样本进行分析，我们发现该毒完全是依靠某款下载器在进行传播。

　　病毒团伙将精心构造的脚本木马挂到一些网站上，一旦存在某些系统漏洞的电脑访问网站，就会被脚本木马感染，随后这些脚本木马会将功能更强的木马下载器下载到电脑上，再由木马下载器来下载“网游盗号者OL”（win32.pswtroj.gameol.226416）。

　　如果发现电脑中出现此毒且无法彻底清除，表明系统中已经混入了经过精心免杀处理的未知下载器，用户可下载运行金山安全实验室的金山急救箱，即可将未知下载器灭活。

　　金山急救箱下载地址 http://labs.duba.net/jjx.shtml

　　Win32.troj.cfgt.ex.38507  （CFG网游盗号器变种）

　　展开描述：依靠网页挂马传播，盗窃网游帐号

　　症状：游戏密码失效，装备丢失，网游帐号被盗

　　卡巴命名：Trojan-GameThief.Win32.Magania.Bdax、Trojan-PSW.Win32.LdPinch.afvu

　　瑞星命名：Trojan.PSW.Win32.GameOL.zql\n、Trojan.PSW.Win32.XYOnline.alv\n

　　NOD32命名：Trojan.Win32.PSW.OnLineGames.NRD

　　“CFG网游盗号器变种”（win32.troj.cfgt.ex.38507）已经是继续在我们的TOP榜上露脸。这款盗号木马主要依靠网页挂马传播，能盗取多款流行网游的账号和木马。如果用户系统中存在安全漏洞，就很容易受到脚本下载器的攻击。然后脚本下载器就会直接下载此毒，或者先下载一个类似宝马下载器这样的普通下载器，再下载此盗号木马。

　　如果毒霸频繁提示发现此毒，表明系统中很可能存在未知的下载器，造成每次删除后又再次下载。这种情况不用慌，只需安装并运行金山安全实验室免费提供的“金山急救箱”，对未知下载器进行灭活，即可解决问题。

　　Win32.troj.gameolt.zg.61529（网游盗号木马ZG）

　　展开描述： 盗窃网游帐号，洗劫虚拟财产

　　症状：游戏密码错误，装备丢失，网游帐号被盗

　　卡巴命名：Trojan-GameThief.Win32.Magania.bjlw、HEUR.Trojan.Win32.Generic

　　瑞星命名：Trojan.PSW.Win32.GameOLx.cp\n

　　NOD32命名：Trojan.Win32.PSW.OnLineGames.NRD

　　McAfee命名： PWS-OnlineGames.ek trojan

　　该毒是一个针对网络游戏的盗号木马程序，此毒在7月份时就已经开始流行。它能盗窃多款流行网游的账号密码信息。

　　大量的0day漏洞为各类脚本下载器的挂马传播提供了有利条件，而脚本下载器在进入系统后，就会下载不少传统的木马。Win32.troj.gameolt.zg.61529正是在这样的情况下，实现感染量的大幅增长的。而如果用户发现自己电脑中不断出现此毒，那么表明系统中已经潜入了某款未知下载器，这种情况，可下载运行金山安全实验室的“金山急救箱”，对未知下载器灭活即可。

　　Win32.Troj.Shutdown.c.45056（拔插头病毒）

　　展开描述：逼迫用户重启电脑，令木马得以尽快运行

　　症状：电脑自动关机，或突然死机

　　卡巴命名：Virus.Win32.Sality.k

　　瑞星命名：Win32.Sality.ar\n

　　NOD32命名：virus.Win32.Sality.NAC

　　McAfee命名：W32.Sality.m virus

　　此毒为一款木马程序的组成模块。它运行后就强行关机，逼迫用户重启电脑，以便令木马主程序尽快的得以运行。

　　当木马的母体完成注册表修改，这一模块就运行起来，篡取电脑的电源控制权限，命令电脑立刻关机。如此一来用户必然重启电脑，木马也就可以更快速的运行了。

　　但这样做的结果，就是用户可能会遭受比木马入侵更大的损失。比如正在进行的重要工作被迫中断、电脑硬件因突然断电而受损等。如果用户遇到电脑莫名其妙自动关机，很有可能就是遇到了该毒或是类似的恶意程序。

　　十大影响较大的被挂马网站

　　此榜中的网站，均曾在9月遭到过病毒团伙攻击，并被挂上脚本木马。我们从记录到的挂马网站中，按知名度、访问量人数，以及网站代表性进行综合评估，选出十个，得出此榜。 截止本期月报完成时止，它们依然被挂着。

　　黑龙江省人民政府参事室    hxxp://www.hljcsswsg.gov.cn/index.html

　　湖北省农业厅网站          hxxp://www.hbagri.gov.cn/index.html

　　人民网广西视窗            hxxp://www.fj.xinhuanet/dszx

　　新华网福建频道安南在线    hxxp://ie.cass.cn

　　广州住房公积金中心网站    hxxp://www.gzgjj.gov.cn

　　CCTV旅游论坛            hxxp://bbs.u.cctv.com/

　　老舍纪念馆                hxxp://www.bjlsjng.com

　　志高空调                  hxxp://www.china-chigo.com/cn/index.asp

　　中央民族大学              hxxp://http://cwcx.cun.edu.cn/tool/chris/27035

　　科比中文网                hxxp://www.kobechina.com.cn/web