2008年上半年,电脑病毒、木马的数量依然保持着高速增长,新病毒不断涌现,一些“老”病毒在大量下载器病毒的带动下也异常活跃。 与此同时,病毒、木马与安全软件之间的对抗日益加剧,以机器狗、磁碟机、AUTO木马群为代表的对抗型病毒已经成为广大用户电脑安全的主要威胁。
一、机器狗
病毒名称:Trojan.Psw.Onlinegame.Dog
病毒中文名:QQ大盗
病毒类型:木马
危险级别:★★★★
影响平台:Win9X/2000/XP/NT/Me
描述:机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为“机器狗”,该病毒变种繁多,多表现为杀毒软件无法正常运行。该病毒的主要危害是充当病毒木马下载器,与AV终结者病毒相似,病毒通过修改注册表,让大多数流行的安全软件失效,然后疯狂下载各种盗号工具或黑客工具,给用户电脑带来严重的威胁。
机器狗病毒直接操作磁盘以绕过系统文件完整性的检验,通过感染系统文件(比如explorer.exe,userinit.exe,winhlp32.exe等)达到隐蔽启动;通过底层技术穿透冰点,影子等还原系统软件导致大量网吧用户感染病毒,无法通过还原来保证系统的安全;通过修复SSDT(就是恢复安全软件对系统关键API的HOOK),映像挟持,进程操作等方法使得大量的安全软件失去作用;联网下载大量的盗号木马给广大网民的网络虚拟财产造成巨大威胁,部分机器狗变种还会下载ARP恶意攻击程序对所在局域网(或者服务器)进行ARP欺骗影响网络安全。
二、磁碟机
病毒名称:Trojan.Psw.Onlinegame.Dog
病毒中文名:QQ大盗
病毒类型:木马
危险级别:★★★★★
影响平台:Win9X/2000/XP/NT/Me
简介:
电脑感染“磁碟机”变种病毒后,症状表现为运行任意程序时系统经常性死机或长时间卡住不动,病毒会以加密感染的方式感染除系统盘外的其它所有分区内的EXE文件、网页文件、RAR和ZIP压缩包中的文件等。被感染的文件图标变为16位图标,图标变得模糊,类似马赛克状。
病毒一旦发现带有符合安全工具软件相关的窗口名存在,就会强行将其关闭(发送洪水似垃圾消息)。在所有盘符下生成“autorun.inf”和病毒程序文件体,并且会实时检测保护这些文件。病毒会下载20余种木马病毒,用以窃取中毒电脑中有价值的隐私信息。病毒通过十余种方式实现自我保护和避免被杀毒软件查杀,其隐藏和自我保护技术超过机器狗。
三、AV终结者
病毒名称:Trojan/Anti-AV
病毒中文名:Av终结者
病毒类型:木马
危险级别:★★★★★
影响平台:Win9X/2000/XP/NT/Me
描述:“AV终结者”即"帕虫"是一系列反击杀毒软件,破坏系统安全模式、植入木马下载器的病毒,它指的是一批具备如下破坏性的病毒、木马和蠕虫。“AV终结者”名称中的“AV”即为英文“反病毒”(Anti-Virus)的缩写。它能破坏大量的杀毒软件和个人防火墙的正常监控和保护功能,导致用户电脑的安全性能下降,容易受到病毒的侵袭。同时它会下载并运行其他盗号病毒和恶意程序,严重威胁到用户的网络个人财产。
此外,它还会造成电脑无法进入安全模式,并可通过可移动磁盘传播。目前该病毒已经衍生多个新变种,有可能在互联网上大范围传播。“AV终结者”设计中最恶毒的一点是,用户即使重装操作系统也无法解决问题:格式化系统盘重装后很容易被再次感染。用户格式化后,只要双击其他盘符,病毒将再次运行。“AV终结者”会使用户电脑的安全防御体系被彻底摧毁,安全性几乎为零。它还自动连接到某网站,下载数百种木马病毒及各类盗号木马、广告木马、风险程序,在用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。
四、网游窃贼
病毒名称:Trojan/PSW.GamePass.Gen
病毒中文名:网游大盗
病毒类型:木马
危险级别:★★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:Trojan/PSW.GamePass“网游大盗”是一个盗取网络游戏帐号的木马程序,会在被感染计算机系统的后台秘密监视用户运行的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料,并在后台将盗取的所有玩家信息资料发送到骇客指定的远程服务器站点上。致使网络游戏玩家的游戏帐号、装备物品、金钱等丢失,会给游戏玩家带去不同程度的损失。 “网游大盗”会通过在被感染计算机系统注册表中添加启动项的方式,来实现木马开机自启动。
五、下载者
病毒名称:w32.Troja.downloader
中 文 名:下载者
病毒类型:木马下载器
危害等级:★★★★
描述:该病毒为Windows平台下通过网络下载QQ木马、网游木或其它病毒的下载器病毒运行后将自己伪装成伪系统正常文件,并利用特殊技术将病毒代码注入到系统正常进程中,以绕过网络防火墙的监视。然后下载其它病毒。
六、Rootkit
病毒名称:Rootkit.Agent.xd
中 文 名:Rootkit
病毒类型:病毒
危害等级:★★★★★
Rootkit基本是由几个独立程序组成,一个典型rootkit包括: 以太网嗅探器程序,用于获得网络上传输的用户名和密码等信息。 特洛伊木马程序,为攻击者提供后门。 隐藏攻击者目录和进程的程序。还包括一些日志清理工具,攻击者用其删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。 复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。还包括一些用来清理/var/log和/var/adm目录中其 它文件的脚本。
七、灰鸽子
病毒名称:Backdoor/Huigezi
病毒中文名:灰鸽子
病毒类型:后门
危险级别:★★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:Backdoor/Huigezi “灰鸽子”是后门家族的最新成员之一,采用Delphi语言编写,并经过加壳保护处理。“灰鸽子”运行后,会自我复制到被感染计算机系统的指定目录下,并重新命名保存(文件属性设置为:只读、隐藏、存档)。“灰鸽子”是一个反向连接远程控制后门程序,运行后会与骇客指定远程服务器地址进行TCP/IP网络通讯。中毒后的计算机会变成网络僵尸,骇客可以远程任意控制被感染的计算机,还可以窃取用户计算机里所有的机密信息资料等,会给用户带去不同程度的损失。“灰鸽子”会把自身注册为系统服务,以服务的方式来实现开机自启动运行。“灰鸽子”主安装程序执行完毕后,会自我删除。
八、U盘病毒
病毒名称:Checker/Autorun
病毒中文名:U盘寄生虫
病毒类型:蠕虫
危险级别:★★★★
一周感染量:18184台
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:Checker/Autorun“U盘寄生虫”是一个利用U盘等移动存储设备进行自我传播的蠕虫病毒。“U盘寄生虫” 运行后,会自我复制到被感染计算机系统的指定目录下,并重新命名保存。“U盘寄生虫”会在被感染计算机系统中的所有磁盘根目录下创建“Autorun.inf”文件和蠕虫病毒主程序体,来实现用户双击盘符而启动运行“U盘寄生虫”蠕虫病毒主程序体的目的。
“U盘寄生虫”还具有利用U盘、移动硬盘等移动存储设备进行自我传播的功能。“U盘寄生虫”运行时,可能会在被感染计算机系统中定时弹出恶意广告网页,或是下载其它恶意程序到被感染计算机系统中并调用安装运行,会给用户带去不同程度的损失。“U盘寄生虫” 会通过在被感染计算机系统注册表中添加启动项的方式,来实现蠕虫开机自启动。
九、QQ大盗
病毒名称:Trojan/Psw.Ala.QQpass
病毒中文名:U盘寄生虫
病毒类型:蠕虫
危险级别:★★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:Trojan/PSW.QQPass“QQ大盗”是木马家族的最新成员之一,采用高级语言编写,并经过加壳保护处理。“QQ大盗”运行时,会在被感染计算机的后台搜索用户系统中有关QQ注册表项和程序文件的信息,然后强行删除用户计算机中的QQ医生程序“QQDoctorMain.exe”、“QQDoctor.exe”和“TSVulChk.dat”文件,从而来保护自身不被查杀。“QQ大盗”运行时,会在后台盗取计算机用户的QQ帐号、QQ密码、会员信息、ip地址、ip所属区域等信息资料,并且会在被感染计算机后台将窃取到的这些信息资料发送到骇客指定的远程服务器站点上或邮箱里,会给被感染计算机用户带去不同程度的损失。“QQ大盗”通过在注册表启动项中添加键的方式,来实现开机木马自启动。
十、Flash漏洞攻击器
病毒名称:Hack.Exploit.Swf.A
病毒中文名:Flash漏洞攻击器
病毒类型:蠕虫
危害级别:★★★★
一周感染量:1890453
影响平台:Win 9X/ME/NT/2000/XP/2003
这是一个黑客程序,可以破坏Flash插件的安全机制,使其它病毒获取系统权限,侵入用户电脑。目前每天有数十万台电脑被此病毒感染,危害十分严重。此病毒会被植入“挂马网站”中,用户浏览时就可能中毒。目前已截获的主要是木马下载器病毒,它们会从网上下载其它多种盗号木马,窃取流行网络游戏的账号和装备。
墨者安全专家认为:尽管杀毒厂商有对以上病毒作出反应,但是传统的特征码扫描技术被病毒木马打击的溃不成军,如果下一个类似“磁碟机”“AV终结者”出现的时候谁来保护杀毒软件,网络安全现在的问题不仅仅是传统厂家与黑客之间的博弈,面对日益完善的黑色产业链,靠杀毒软件支持的时代已经过去,安全厂商应该把防御放到首要未知,主动免疫的时代已经来临。