江民2009年度中国大陆地区计算机病毒疫情报告

　　(1)“U盘寄生虫”及其变种

　　病毒名称：Checker/Autorun

　　中 文 名：U盘寄生虫

　　病毒类型：蠕虫

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　描 述：

　　Checker/Autorun“U盘寄生虫”是一个利用U盘等移动存储设备进行自我传播的蠕虫病毒。“U盘寄生虫” 运行后，会自我复制到被感染计算机系统的指定目录下，并重新命名保存。“U盘寄生虫”会在被感染计算机系统中的所有磁盘根目录下创建“autorun.inf”文件和蠕虫病毒主程序体，来实现用户双击盘符而启动运行“U盘寄生虫”蠕虫病毒主程序体的目的。“U盘寄生虫”还具有利用U盘、移动硬盘等移动存储设备进行自我传播的功能。“U盘寄生虫”运行时，可能会在被感染计算机系统中定时弹出恶意广告网页，或是下载其它恶意程序到被感染计算机系统中并调用安装运行，会被用户带去不同程度的损失。“U盘寄生虫” 会通过在被感染计算机系统注册表中添加启动项的方式，来实现蠕虫开机自启动。

　　(2)“赛门斯”及其变种

　　病毒名称：Adware/Cinmus.Gen

　　中 文 名：“赛门斯”变种

　　病毒类型：广告程序

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　描 述：

　　Adware/Cinmus.Gen“赛门斯”变种是“赛门斯”广告程序家族的最新成员之一，采用VC++ 6.0编写。“赛门斯”变种运行后，会在被感染计算机的后台获取系统网卡的MAC地址，收集被感染计算机系统的配置信息。同时在后台连接骇客指定站点，进行访问量的统计和其它恶意程序下载等操作。病毒还会读取注册表相关键值，检查自身组件是否被禁用，一旦发现被禁用便重新启动病毒文件。同时自我注册为BHO，实现“赛门斯”变种随系统浏览器的启动而加载运行。另外，“赛门斯”变种可能会在被感染计算机系统中定时弹出恶意网页、广告窗口等，干扰用户的正常操作。

　　(3)“网游窃贼”及其变种

　　病毒名称：Trojan/PSW.OnLineGames

　　中 文 名：网游窃贼

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP

　　描 述：

　　Trojan/PSW.OnLineGames“网游窃贼”是一个盗取网络游戏帐号的木马程序，会在被感染计算机系统的后台秘密监视用户运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将盗取的所有玩家信息资料发送到骇客指定的远程服务器站点上。致使网络游戏玩家的游戏帐号、装备物品、金钱等丢失，会给游戏玩家带去不同程度的损失。“网游窃贼”会通过在被感染计算机系统注册表中添加启动项的方式，来实现木马开机自启动。

　　(4)“代理木马”及其变种

　　病毒名称：Trojan/Agent

　　中 文 名：代理木马

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9x/2000/XP/NT/Me/2003

　　描 述：

　　Trojan/Agent“代理木马”是一个从被感染计算机上盗取用户账号密码的木马程序。病毒运行后会创建名为boot.sys的病毒副本，在临时文件夹中创建.html文件并利用IE浏览器自动打开。修改注册表，实现病毒程序的开机自启，并降低IE安全级别。同时在随机TCP端口开启代理服务器，将用户计算机变为黑客的代理服务器。可开启后门，允许远程攻击者非授权进入被感染计算机。“代理木马”会盗取被感染计算机用户的密码，并可通过拦截用户输入IE的数据，形成键击日志。将盗取的信息发送给黑客。

　　(5)“玛格尼亚”及其变种

　　病毒名称：Trojan/PSW.Magania

　　中 文 名：代理木马

　　病毒类型：木马

　　危险级别：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　描 述：

　　以Trojan/PSW.Magania.bea为例，“玛格尼亚”变种bea是“玛格尼亚”木马家族的最新成员之一，采用高级语言编写，并经过加壳处理。“玛格尼亚”变种bea采用HOOK技术和内存截取技术，运行后在被感染计算机的后台盗取网络游戏玩家的游戏账号、游戏密码、身上装备、背包装备、角色等级、金钱数量、游戏区服、计算机名称等信息，并在被感染计算机的后台将窃取到的玩家游戏账号信息发送到骇客指定的远程服务器站点上，造成玩家的游戏账号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“玛格尼亚”变种bea还会修改注册表，实现木马开机自动运行。

　　(6)“刻毒虫”及其变种(Worm/Kido)

　　病毒名称：Worm/Kido

　　中 文 名：刻毒虫

　　病毒类型：蠕虫

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　描 述：

　　以Worm/Kido.cc为例，“刻毒虫”变种cc是“刻毒虫”家族中的最新成员之一，该蠕虫是由“kido”主程序释放出来的DLL功能组件，经过加壳保护处理。“刻毒虫”变种cc运行后，会移动自身到“%SystemRoot%\system32\”文件夹下，若不成功则进一步尝试移动到“C:\Program Files\Movie Maker\”、“%USERPROFILE%\Application Data\”、“%Temp%”等文件夹下，重新命名为“*.dll”(文件名为随机字符串，不过通常是“bqwzif.dll”)。另外病毒还会释放一个临时的恶意驱动程序。“刻毒虫”变种cc运行后，会将恶意程序插入“svchost.exe”或者“explorer.exe”进程之中隐秘运行。关闭系统自动更新服务(wuauserv)、后台智能传输(BITS)服务以及“WinDefend”等服务，并利用自带的密码表对使用弱口令的网上邻居进行口令猜解。一旦猜解成功，便会通过MS08-067漏洞向该网上邻居发送一个特定的RPC请求，用于下载kido主程序并创建计划任务，从而激活该蠕虫文件。“刻毒虫”变种cc运行时，还会监视系统中打开的窗口，并关闭带有指定字符串(大部分为安全厂商名称)的窗口。同时还会阻止用户连接指定的站点(通常是安全软件或微软的网站)，干扰用户通过网络寻求病毒的解决方案。“刻毒虫”变种cc会利用特定算法生成大量的随机域名，同时下载其它的恶意程序，用户可能因此而遭受信息泄露、远程控制、垃圾邮件等侵害。“刻毒虫”变种cc还可通过移动存储设备进行传播，当其发现有新的移动存储设备接入时，便会在其根目录下创建文件夹“RECYCLER\S-*-*-*-*-*-*-*”(*为随机字符串)，并在其中生成自身副本“*.vmx”(文件名随机，不过通常是“jwgkvsq.vmx”)，同时在根目录下创建“autorun.inf”，设置上述文件及文件夹属性为“系统、只读、隐藏”，以此实现利用系统自动播放功能进行传播的目的。“刻毒虫”变种cc会在被感染系统中新建一个随机名称的系统服务，并通过“svchost.exe”或“services.exe”实现开机自动运行。其还会修改文件和注册表的访问控制对象，致使用户无法删除自身产生的文件和注册表项。

　　(7)“无极杀手”及其变种(Win32/Piloyd.b)

　　病毒名称：Win32/Piloyd.b

　　中 文 名：“无极杀手”变种b

　　病毒类型：Windows病毒

　　危险级别：★★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　描 述：

　　Worm/Piloyd.b“无极杀手”变种b是“无极杀手”家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，经过加壳保护处理。“无极杀手”变种b运行后，会替换系统文件“%SystemRoot%\system32\qmgr.dll”(BITS后台智能传输服务所对应的文件)，以此实现开机自启。同时通过批处理将自我复制为“%SystemRoot%\system32\dllcache\lsasvc.dll”，然后原病毒程序会将自我删除，从而消除痕迹。“无极杀手”变种b运行时，会试图关闭大量安全软件的相关进程，并利用注册表映像文件劫持干扰这些程序的正常启动运行。如果其发现系统中运行着特定的安全软件，便会释放恶意驱动程序“%SystemRoot%\system32\drivers\LiTdi.sys”，用以结束安全软件的自我保护。通过自带的弱口令列表尝试对网上邻居进行口令猜解，被成功猜解的系统将会被其感染。“无极杀手”变种b会在可移动存储设备的根目录下创建“recycle.{645ff040-5081-101b-9f08-00aa002f954e}\ghost.exe”和“autorun.inf”，以此实现通过移动存储设备进行传播的目的。感染计算机中存储的“exe”、“htm”、“html”、“asp”、“aspx”和“rar”格式文件(在网页格式文件中插入挂马脚本“http://mm.aa8856*.cn/index/mm.js”)，致使系统用户面临被多次感染的风险。连接骇客指定的站点“http://bbnn7*.114central.com”，下载大量恶意程序并调用运行，从而给用户造成更多的威胁。另外，其会访问骇客指定的页面“http://nbtj.114anhu*.com/msn/163.htm”，以此进行被感染用户的统计。

　　(8)“灰鸽子二代”及其变种

　　病毒名称：Backdoor/Hupigon

　　中 文 名：灰鸽子二代

　　病毒类型：后门

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　描 述：

　　Backdoor/Hupigon“灰鸽子二代”变种病毒是后门家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“灰鸽子二代”变种运行后，会自我复制到被感染计算机系统的指定目录下，并重新命名保存，文件属性设置为“系统、隐藏、只读、存档”。在系统的指定目录下释放恶意DLL组件文件，并将文件属性设置为“系统、隐藏、只读、存档”。“灰鸽子二代”变种运行时，会将释放出来的恶意DLL组件插入到系统IE浏览器进程“IEXPLORE.EXE”中加载运行(“灰鸽子二代”变种同时将该IE浏览器进程通过HOOK技术设置为隐藏)，并在后台执行恶意操作，隐藏自我，防止被查杀。如果被感染的计算机上已安装并启用了防火墙，则该后门会利用防火墙的白名单机制来绕过防火墙的监控，从而达到隐蔽通信的目的。“灰鸽子二代”变种属于反向连接后门程序，会在被感染计算机系统的后台连接骇客指定的远程服务器站点，获取远程控制端真实地址，然后侦听骇客指令，从而达到被骇客远程控制的目的。该后门具有远程监视、控制等功能，可以对被感染计算机系统中存储的文件进行任意操作，监视用户的一举一动(如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)，还可以窃取、修改或删除用户计算机中存放着的机密信息，对用户的信息安全、个人隐私，甚至是商业机密构成了严重的威胁。用户计算机一旦感染了“灰鸽子二代”变种便会变成网络僵尸傀儡主机，骇客利用这些傀儡主机可对指定站点发起DDoS攻击、洪水攻击等。通过在被感染计算机中注册为系统服务的方式来实现后门开机自启动。“灰鸽子二代”变种主安装程序执行完毕后会自我删除，从而达到消除痕迹的目的。

　　(9)“文件夹寄生虫”及其变种

　　病毒名称：Checker/HideFolder

　　中 文 名：文件夹寄生虫

　　病毒类型：寄生虫病毒

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　描 述：

　　该类病毒通常会将硬盘根目录下的正常文件夹隐藏，将自身伪装成文件夹样式图标，并将自身命名为被隐藏文件夹的名称。

　　Checker/HideFolder “文件夹寄生虫”病毒图标为文件夹图标，采用“Microsoft Visual C++ 6.0”编写。“文件夹寄生虫”病毒运行后，会在被感染计算机系统的“%SystemRoot%\system32\”文件夹下分别释放恶意组件文件“icccy.dll”、“taoba_1.dll”、“cpa_1.exe”。会强行篡改被感染计算机系统中的注册表项，使IE浏览器启动后自动访问骇客指定的站点“http://www.771234.net”。同时会在被感染计算机的后台遍历除系统盘以外的所有盘符，将文件夹的属性都设置为系统、只读、隐藏，并在当前目录下生成(病毒自我复制)一个与被隐藏的文件夹同名的“.exe”病毒程序(该病毒图标为文件夹图标)。通过这样的伪装后，当用户在打开文件夹时，其实上运行的却是病毒程序，随后病毒会再把用户当前要打开的文件夹自动打开，起到欺骗用户的目的。“

　　(10)“恶小子”及其变种

　　病毒名称：VBS/Fineboy

　　中 文 名：恶小子

　　病毒类型：VBS脚本病毒

　　危险级别：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　描 述：

　　以VBS/Fineboy.a为例，“恶小子”变种a采用“Visual Basic Script”脚本语言编写，并且进行了加密处理。“恶小子”变种a运行后，会自我复制到被感染系统每个分区的根目录下，并根据该分区的序列号重新命名。隐藏该分区根目录下的文件夹，同时生成对应的快捷方式，以此实现在打开文件夹的同时激活恶意脚本。还会生成“autorun.inf”文件，从而利用系统自动播放功能进行自启。“恶小子”变种a会大量修改系统注册表，致使“显示系统隐藏文件及文件夹”功能失效。篡改“txt”、“inf”、“bat”、“chm”等等扩展名的文件关联，当用户打开这些文件的时候，会首先运行恶意脚本。同时其还修改了“IE”、“我的电脑”等的打开方式。“恶小子”变种a会不断监视系统中的进程，并且会试图关闭一些指定的安全软件以实现自我保护。定时检测系统中自身的运行数量，如果小于指定数量便会试图通过“svchost.exe”运行自我，以此实现了自我保护，防止被轻易地查杀。“恶小子”变种a会在月份数字与日期数字相同时反复弹出光驱以及生成并打开网页文件“BFAlert.hta”。另外，如果用户计算机的系统分区类型为“NTFS”，“恶小子”变种a则可以利用一些系统特性实现开机自启。