2006年上半年十大病毒档案

一、“灰鸽子”

病毒名称：Backdoor/Huigezi

病毒中文名：“灰鸽子”

病毒类型：后门

危险级别：★

影响平台： Win 9X/ME/NT/2000/XP

描述：Backdoor/Huigezi.cm“灰鸽子”变种cm是一个未经授权远程访问用户计算机的后门。“灰鸽子”变种cm运行后，自我复制到系统目录下。修改注册表，实现开机自启。侦听黑客指令，记录键击，盗取用户机密信息，例如用户拨号上网口令，URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外，“灰鸽子”变种cm可下载并执行特定文件，发送用户机密信息给黑客等。

二、“传奇窃贼”

病毒名称：Trojan/PSW.LMir

病毒中文名：“传奇窃贼”

病毒类型：木马

危险级别：★

影响平台： Win 9x/2000/XP/NT/Me

描述：传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后，主程序文件自己复制到系统目录下。修改注册表，实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后，会自动重启。窃取“传奇2”帐号密码，并将盗取的信息发送给黑客。

三、“高波”

病毒名称：Backdoor/Agobot

病毒中文名：“高波”

病毒类型：后门

危险级别：★★

影响平台：Win 2000/XP/NT

描述： Backdoor/Agobot.aky “高波变种”aky是一个经UPX压缩，主要利用网络弱密码共享进行传播的后门程序。该后门程序还可利用微软DCOM RPC漏洞提升权限，允许黑客利用IRC通道远程进入用户计算机。该程序运行后，程序文件自我复制到系统目录下，并修改注册表，以实现程序的开机自启。开启黑客指定的TCP端口。连接黑客指定的IRC通道，侦听黑客指令。黑客通过该后门在用户计算机上可进行的操作有：安装并升级病毒程序；下载并运行指定文件；盗取用户系统信息并发送给作者等。利用程序自带的密码字典破解网络共享弱密码。盗取黑客所指定的多种游戏的序列号，终止某些防火墙及杀毒软件的进程。该程序可执行DoS攻击。

并列第三：“瑞波”

病毒名称：Backdoor/RBot.auv

病毒中文名：“瑞波”

病毒类型：后门

危险级别：★★

影响平台： Windows 2000/XP/2003

描述：该变种病毒经过多层压缩加密壳处理，可以利用多种系统漏洞进行传播，感染能力很强。中毒计算机将被黑客完全控制，成为"僵尸电脑"。由于此病毒会扫描感染目标，因此可以造成局域网拥堵，该网友反映的情况很有可能是中了“瑞波”病毒。

四、“CHM木马”

病毒名称：Exploit.MhtRedir

病毒中文名：“CHM木马”

病毒类型：木马、脚本

危险级别：★★

影响平台：Windows 98/ME/NT/2000/XP/2003

描述：

利用IE浏览器MHTML跨安全区脚本执行漏洞(MS03-014)的恶意网页脚本，

自从2003年以来，一直是国内为流行的种植网页木马的恶意代码类型，

2005年下半年，泛滥趋势稍有减弱，2006年上半年的感染数量仍然很大，

没有短期内消亡的迹象。

五、“WMF漏洞利用者”

病毒名称：Exploit.MsWMF

病毒中文名：“WMF漏洞利用者”

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

描述： Exploit.MsWMF.a“WMF漏洞利用者”变种a是一个利用微软MS06-001漏洞进行传播的木马。如果用户使用未打补丁的Windows系统，在上网浏览、本地打开或预览恶意WMF文件时，自动下载网络上的其它病毒文件，侦听黑客指令，对用户计算机进行各种攻击。

六、“QQ大盗”

病毒名称：Trojan/QQPass

病毒中文名：“QQ大盗”

病毒类型：木马

危险级别：★

影响平台：Win9X/2000/XP/NT/Me

描述： Trojan/QQPass.ak是用Delphi编写并经UPX压缩的木马，用来窃取游戏"传奇"信息。

传播过程及特征：

1.创建下列文件：

%System%winsocks.dll, 91136字节

%Windir%intren0t.exe, 91136字节

2.修改注册表：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"Intren0t" = %Windir%intren0t.exe

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]

"Intren0t" = %Windir%intren0t.exe

这样，在Windows启动时，病毒就可以自动执行。

注：%Windir%为变量，一般为C:Windows 或 C:Winnt；

%System%为变量，一般为C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000),

或 C:WindowsSystem32 (Windows XP)。

七、“维京”

病毒名称：Worm/Viking

病毒中文名：维京

病毒类型：蠕虫、木马

危险级别：★★★

影响平台：Windows 98/ME/NT/2000/XP/2003

描述：该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点，进入用户的电脑之后，它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中，窃取用户的网络游戏密码，严重时造成系统完全崩溃。该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点，进入用户的电脑之后，它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中，窃取用户的网络游戏密码，严重时造成系统完全崩溃。

八、“传华木马”

病毒名称：Trojan/PSW.Chuanhua

病毒中文名：“传华木马”

病毒类型：木马

危险级别：★★

影响平台：Windows 98/ME/NT/2000/XP/2003

描述：

出自同一个木马制作组织“传华”的若干木马变种。“传华木马”主要以盗取QQ或网络游戏的帐号密码为目的，变种极多，感染了大量用户。

九、“工行钓鱼木马”

病毒名称：TrojanSpy.Banker.yy

病毒中文名：“工行钓鱼木马”

病毒类型：木马

危险级别：★★★

影响平台：Windows 98/ME/NT/2000/XP/2003

描述：这是一个十分狡猾的盗取网上银行密码的木马病毒。病毒运行后，在系统目录下生成svchost.exe文件，然后修改注册表启动项以使病毒文件随操作系统同时运行。

病毒运行后，会监视微软IE浏览器正在访问的网页，如果发现用户在工行网上银行个人银行登录页面上输入了帐号、密码，并进行了提交，就会弹出伪造的IE窗，内容如下： “为了给您提供更加优良的电子银行服务，6月25日我行对电子银行系统进行了升级。请您务必修改以上信息！”

病毒以此诱骗用户重新输入密码，并将窃取到的密码通过邮件发送到一个指定的163信箱。该病毒同时还会下载灰鸽子后门病毒，感染灰鸽子的用户系统将被黑客远程完全控制。

十、“敲诈者”

病毒名称：Trojan/Agent.bq

病毒中文名：“敲诈者”

病毒类型：木马

危险级别：★★★

影响平台：Win 9X/ME/NT/2000/XP/2003