2004年上半年十大病毒资料

1、“震荡波”及变种（I-Worm/Sasser）

2004年5月1日首次被截获以来，在短短几天席卷全球电脑用户，12天之内接连出现6个变种。“震荡波”由18岁的德国少年斯文・扬森编写，该病毒跟2003年的“冲击波”病毒非常类似，同属于的网络蠕虫，感染Windows 2000、Windows Server 2003、Windows XP系统，它是利用微软的MS04-011漏洞，通过互联网进行传播，但不通过邮件传播。蠕虫能自动在网络上搜索含有漏洞的系统，在含有漏洞的系统的TCP端口5554建立FTP文件服务器，自动创建FTP脚本文件，并运行该脚本，该脚本能自动引导被感染的机器下载执行蠕虫程序，用户一旦感染后，病毒将从TCP的1068端口开始搜寻可能传播的IP地址，系统将开启上百个线程去攻击他人，造成计算机运行异常缓慢、网络不畅通，并让系统不停的进行重新启动。

2、“网络天空” 及变种（I-Worm/NetSky）

2004年2月19日首次截获I-Worm/NetSky.b，“网络天空” （I-Worm/NetSky）及变种均通过网络传播的蠕虫，感染病毒后，病毒首先在Windir创建自身文件，有时还会在共享文件夹中生成自身拷贝，并修改注册表启动项，使病毒在Windows启动时就得以运行，甚至会试图删除多个重要的注册表键值，达到影响系统运行的目的。该病毒在感染计算机的硬盘和网络映射驱动器上搜索电子邮件地址，利用其自带的SMTP引擎通过发送电子邮件传播。带毒电子邮件的主题、内容和附件名称随机变化，根据收信人邮件地址的域名，使用包括英语、法语、意大利语等共9种不同语言。病毒在被感染计算机上打开后门端口，接收并运行黑客发送的任何程序文件并会在特定期间对某些网站发动拒绝服务（DoS）攻击。该病毒的表现形式也非常跟踪潮流，它通过网络的邮件来传播，甚至充当震荡波变种b的专杀工具。同时也还能伪装成一些非常流行的病毒的专杀工具，它们是大名鼎鼎的：冲击波、MYDOOM、雏鹰等网络蠕虫。

3、网银大盗 (Trojan/PSW.HidWebmon) 、“网银大盗Ⅱ”“ 网银大盗Ⅲ”

2004年4月18日，19日，江民反病毒中心接连截获“网银大盗”（Trojan/PSW.HidWebmon.a）木马及变种Trojan/PSW.HidWebmon.b。该木马偷取中国工商银行个人网上银行的帐号和密码。用户电脑感染木马后，木马首先在 用户计算机中创建expl0er.exe本身文件，还创建expl0er.dll挂钩和发信模块dll文件，并修改注册表，木马在系统启动时就可以运行。病毒运行后会调用expl0er.dll，设置消息挂钩。Expl0er.dll和病毒主程序之间通过一块共享内存交换数据。病毒主程序开启2个计时器，计时器1每隔3秒钟检查是否有常用反病毒和防火墙软件运行，一旦发现则立即终止这些进程，同时还自动回写病毒注册表项和病毒文件。计时器2每隔0.5秒搜索用户的IE窗口，如果发现用户正在“个人网上银行”的登陆界面，则尝试窃取注册卡号和密码。一旦成功，就把窃取到的信息保存到共享内存中。Expl0er.dll被设置成消息挂钩后，用户对窗口的任何操作都会激活病毒代码。它将尝试连接某网站，用以判断当前网络是否接通。如果连接成功，就会把共享内存中保存的用户帐号和密码通过电子邮件发送给病毒作者。

“网银大盗Ⅱ” （Trojan/KeyLog.Dingxa）

2004年6月2日，江民反病毒中心截获“网银大盗Ⅱ” （Trojan/KeyLog.Dingxa）木马，该木马盗取包括工商银行、招商银行、建设银行、交通银行、深圳发展银行、民生银行、华夏银行、上海银行等8个银行及首都电子商城、中国在线支付网、银联支付网关等三家网上支付机构的帐号、密码、验证码等。木马在用户感染的电脑里只创建svch0st.exe本身文件，同时修改注册表，木马在系统启动时就可以运行。木马运行后，将开启3个定时器，第一个定时器每隔10毫秒检查一次用户是否正在使用涉及到的银行“个人网上银行”的登陆界面，第二个定时器则记录用户键入的所有键盘记录。第三个定时器每隔60秒搜索一次记录数据，然后把窃取到的信息以get方式发送到指定的http://*****.com/****/get.asp。

“网银大盗Ⅲ”（TrojanSpy.Elelist）

2004年6月8日，江民反病毒中心率先截获 “网银大盗Ⅲ”（TrojanSpy.Elelist）木马。该木马偷取包括英国汇丰银行(HSBC)、英国爱格银行(Egg)、英国哈里费克斯银行(Halifax)、英国巴克莱银行(Barclays)、英国国家西斯敏斯特银行(National Westminster)、英国苏格兰皇家银行(Royal Bank of Scotland)、英国劳埃德银行(Lloyd)、西班牙联邦储蓄银行(la Caixa)等8家著名国外银行网上银行的帐号和密码。用户电脑感染“网银大盗Ⅲ” 木马后，木马会创建user32.exe木马本身在内的三个文件，同时修改注册表，木马运行后，自动对IE页面控件进行监视，并记录用户在上述8家个人银行网站进行的各种IE控件操作，每隔1秒就会检查记录文件是否存在，并通过电子邮件把盗取信息发送到俄罗斯的免费个人信箱1list@mail.ru。

4、“挪威客” 及变种（I-Worm/Novarg，又名I-Worm/Mydoom）

2004年1月27日，首次被截获“挪威客”（I-WORM/Novarg后为I-Worm/Mydoom）蠕虫病毒，感染病毒后，病毒在Windows目录下生成自身的拷贝，使用Word的图标，并在共享文件夹中生成自身拷贝，病毒修改注册表项，使得自身能够在系统启动时自动运行。病毒运行后随机删除从C到Z的所有驱动器中以.mdb .doc .xls .sav .jpg .avi .bmp为后缀名的文件，并在删除文件夹下生成.ZIP为后缀的病毒体。蠕虫程序利用自身的SMTP引擎，搜索有效的邮件地址，发送自身，发送蠕虫的邮件的主题、发件人、甚至附件的名称等都是随机变化的，病毒本身是一个可执行文件，可能包含在一个ZIP压缩包里。计算机感染病毒后，会设置后门，开放TCP 端口，允许攻击者连接此计算机并利用一个代理获得访问网络资源的权限，后门程序还可以下载和执行任意的文件。该蠕虫还有可能通过Kazza共享程序来传播自身。

5、“雏鹰” 及变种（I-Worm/BBEagle）

2004年1月19日，“雏鹰” 蠕虫病毒首次被截获，有趣的是，在后期的变种中，“雏鹰”病毒作者和“网络天空”病毒作者互相指责对方盗窃了其病毒源代码，在向外传播的时候也不忘骂上几句，甚至变种I-Worm/BBEagle.o如果发现用户计算机已经感染了“网络天空”病毒，会自动将之清除。

该病毒利用电子邮件、文件共享软件（如Kazza, iMesh）、后门进行传播，感染病毒后，病毒将自身复制到名字包含“shar”字样的文件夹中，并把自己重命名，把自己的伪装为计算器、电子表格文件、钟表、文本文件、看图、播放、办公等类似的图标，在感染每个新文件时进行变形，使查杀难度增加。修改注册表键值，使自身可以在系统启动时运行，病毒运行后，搜索用户系统内所有合法电子邮件地址，并使用的自带的SMTP向这些地址发送带毒的电子邮件，其伪造的发信人地址和收信用户的邮件地址具有相同的域名称，以加密压缩包的形式，将自身隐藏在邮件附件中向外疯狂传播，更具欺骗性。病毒同时具有后门能力，在TCP端口2745打开后门，把在后门监听到的端口和IP地址发送给攻击者。后期变种病毒尝试结束绝大多数国外杀毒软件、防火墙、常用监控程序和某些病毒进程。
6、超级密码007及变种（I-Worm/Supkp）

2003年8月，“超级密码007” 蠕虫病毒首次被截获，I-Worm/Supkp("超级密码杀手007"病毒)是一个集蠕虫程序、后门程序、黑客程序于一身的病毒。江民公司已截获该病毒的许多变种。该病毒利用ipc进行guest和Administrator帐号的简单密码探测，如果成功,将尝试将自己复制到远程系统并试图注册成服务。它会修改系统注册表的关联部分，使得系统对纯文本的操作就能激活该网络蠕虫。病毒可以释放出后门程序，还可以盗取用户密码,并发送到指个邮箱。

7、好大病毒及变种（I-Worm/Sobig）

2003年5月，“好大网络” 蠕虫病毒首次被截获， I-Worm/Sobig（"好大"病毒）至今已出现五种以上的变种，I-Worm/Sobig系列的蠕虫病毒均可以自动搜索邮件地址，所有可能包含邮件地址的wab、dbx、htm和html、eml、txt格式的文件都在其搜索之列，然后疯狂向找到的Email地址发送含有该蠕虫的信件。邮件地址的发送人都是写假装的地址、不要真的以为是那些人发送给您的该网络蠕虫。发送邮件的地址有的甚至被设为雅虎的技术支持信箱support@yahoo.com。此外该病毒也可以搜索可写的网络邻居上的机器的目录，将自身拷贝到该目录下。

8、冲击波杀手 （I-Worm/Chian）

2003年8月18日，“冲击波杀手” 蠕虫病毒首次被截获，冲击波杀手病毒通过向网络发送大量的数据包，对特定IP段进行疯狂扫描，如果发现冲击波病毒，即将其删除，并立刻登录微软网站下载RPC漏洞补丁。该病毒是病毒炮制者利用一种黑客程序改编而成，虽然病毒炮制者的初衷是为了反"冲击波"病毒，但却造成了系统不稳定运行、重新启动、死机等，使网络流量剧增，最终导致许多网络瘫痪的后果。病毒长度是10240字节，截获的文件名称：dllhost.exe，感染系统：Windows XP和Windows 2000 ，传播途径：利用微软的多重漏洞。

9、“求职信”及其变种（I-Worm/Klez和Win32/Foroux）

求职信”（Worm_klez）病毒第一次出现在2001年8月。主要传染Windows9x/me、Windows NT、Windows 2000。该病毒破坏性强，传播速度快，并且有多个变种。主要通过电子邮件和网络共享传播，也可以感染系统文件。病毒有能力破坏所有的电脑文件，从.TXT文本，到Excel电子表格、图片，它不是简单的删除电脑文件，而是用垃圾数据进行覆盖，以致于不大可能对文件进行恢复操作。Worm_klez使用WAB文件来获取EMail地址，使用内在的SMTP引擎来发送EMail。邮件内容是HTML，Klez用IFRAME漏洞在受害者的电脑上来执行自己，而不需要用户运行附件。

10、PolyBoot（WYX.B）

PolyBoot （也叫WYX.B）是一种典型的感染主引导扇区和第一硬盘DOS引导区的内存驻留型和加密引导型病毒。这种感染方式与一般的引导型病毒是不太一样的。它也能感染软盘的引导区。这种病毒会把最初的引导区储存在不同位置，这取决于它是DBR、MBR还是软盘的引导区。它不会感染和破坏任何文件，但一旦发作，WYX.b发作后会将主引导区搬家移位至61扇区，并用一个错误的引导区或是乱码来覆盖0扇区，这样就会使硬盘所有的分区及数据丢失。感染对象可以是任何的平台包括：Windows,Unix,Linux,Macintosh等。