2005年十大病毒及计算机病毒疫情报告

　　2005年12月13日，国内最大的反病毒软件厂商江民科技发布《2005年十大病毒排行》及《中国大陆地区计算机病毒疫情报告》(以下简称《疫情报告》)。报告显示，2005年度中国大陆地区木马及后门程序取代蠕虫成为病毒主流，通过即时通讯工具(主要是QQ及MSN)以及系统漏洞进行传播的病毒已经取代电子邮件成为病毒传播的主要途径。今年虽然没有特别大规模的病毒爆发，但病毒的总体数量却是急剧上升。“病毒变种速度快，传播范围小，更加隐蔽，目的性更强”成了今年病毒主旋律。在2005年十大恶性病毒排行榜中， “赛波”病毒名列2005年十大恶性病毒之首。

　　根据江民全球病毒监测网(国内部分)、江民病毒预警中心、客户服务中心等多个部门联合监测统计，根据病毒的破坏能力以及传播范围，公布了2005年度十大病毒排行：

2005年度十大病毒排行  数据来源：江民科技

图示：十大病毒在全年发现病毒总数中的比例

　　2005年十大病毒档案

　　1、病毒名称：Backdoor/SdBot.atp.Rootkit

　　中 文 名：“赛波”变种

　　病毒类型：后门

　　影响平台：Win 9x/2000/XP/NT/Me/2003

　　Backdoor/SdBot.atp.Rootkit 是一个利用网络共享弱密码进行传播的后门。病毒运行后，在系统目录下创建病毒主程序副本scvhvst.exe及csrs.exe。修改注册表，以实现后门程序随Windows的启动而启动。开启后门，通过IRC通道对被感染计算机进行远程控制。

　　扫描网络中的其它计算机，利用密码字典破解网络中其它计算机的共享帐号密码。进入其它计算机后，病毒主程序文件自我复制到其C盘及D盘目录下，并自动运行。 侦听黑客指令，可在被感染计算机上执行的操作有：获取被感染计算机系统信息；自动下载并执行黑客指定程序。

　　取消本地共享；终止指定进程；搜索被感染用户局域网内的其它计算机；利用被感染计算机发送邮件；盗取用户计算机上的游戏序列号。

　　2、病毒名称： Backdoor/Huigezi

　　中 文 名：灰鸽子

　　病毒类型：后门

　　影响平台：Win 9x/2000/XP/NT/Me/2003

　　Backdoor/Huigezi “灰鸽子”及其变种是一个可连接指定站点下载其他文件的后门，该后门可自我隐藏。“灰鸽子”运行后，自我复制到Windows目录下，并自行将安装程序删除。修改注册表，将病毒以"Gray_Pigeon_Server"为名注册为服务项实现开机自启。将病毒程序注入到所有的进程中，隐藏自我，防止被查杀。侦听黑客指令，在用户不知情的情况下连接指定站点，盗取用户信息、下载其它特定程序。

　　3、病毒名称： Exploit.MhtRedir

　　中 文 名：“MHT漏洞利用者”

　　病毒类型：木马

　　影响平台：Win 9x/2000/XP/NT/Me/2003

　　Exploit.MhtRedir.dno包含特殊格式的HTML代码，运行后可以下载程序并执行，而且不会有下载提示框出现，利用的是MHTML Exploit的IE安全系统漏洞。当我们访问包含此病毒的网站或HTML邮件时，就会直接下载文件然后自动运行。一般在下载文件时都会出现一个安全提示框，但病毒利用IE漏洞允许绕过此环节直接下载攻击者指定的特定文件。

　　4、病毒名称：Trojan/QQMsg.Zigui

　　中 文 名：“QQ龟”

　　病毒类型：木马

　　影响平台：Win 9x/2000/XP/NT/Me/2003

　　Trojan/QQMsg.Zigui “QQ龟”是一个木马程序，通过向QQ好友群发病毒程序文件进行传播。文件名极具欺骗性，甚至调侃脑白金广告 “今年过年不收礼，收礼只收白骨精(搞笑版广告)”，继而盗取用户机密信息，并将盗取的信息发送给黑客。

　　以往的利用QQ传播的木马常以发送带毒网页链接方式进行传播，很多用户已对QQ消息中的网址较为警惕，而此木马是自动发送带毒文件的，如同前一段时间爆发的“MSN性感鸡”病毒，且文件名更具欺骗性。当用户看到是自己的QQ好友传的文件，很有可能会中病毒的圈套。这也是导致该病毒近期感染面积非常大的原因之一。

　　5、病毒名称：I-Worm/Mytob

　　中 文 名：“麦涛”

　　病毒类型：网络蠕虫

　　影响平台：Win 9x/2000/XP/NT/Me/2003

　　I-Worm/Mytob “麦涛”是利用自带SMTP引擎群发带毒邮件的网络蠕虫，并利用多种系统漏洞传播，并试图利用msn向外发送病毒程序文件。该病毒自2月份以来，出现了约200个变种，还曾隐藏在高波变种中进行传播。被感染计算机会打开后门端口，可以被黑客完全控制。

　　6、病毒名称：I-Worm/DropBot

　　中文名：“MSN性感鸡”

　　病毒类型：蠕虫

　　影响平台：Windows NT/2000/XP

　　MSN性感鸡病毒I-Worm/MSN.DropBot是通过MSN传播的网络蠕虫，发作后显示一张烧鸡图片，可以释放出“罗伯特”后门病毒，“罗伯特”病毒可以使用户系统可被黑客完全控制，成为“僵尸电脑”，并能够通过多种系统漏洞和弱口令传播，感染能力极强。其后续变种发作时，会显示美女或牙刷等图片。

　　7、病毒名称：Backdoor/PcClient

　　中文名：“友好客户”

　　病毒类型：后门

　　影响平台：Win 9x/2000/XP/NT/Me

　　Backdoor/PcClient “友好客户”是一个后门，开启被感染计算机的后门，记录键击，盗取用户机密信息。“友好客户”运行后，在系统目录下和Windows目录下创建病毒文件。修改注册表，实现开机自启。将系统目录下的.d1l病毒文件注入到iexplore.exe的进程中，打开.sys病毒文件，隐藏自我，防止被查杀。开启TCP 6868和7777端口，侦听黑客指令，记录键击，盗取用户计算机系统信息，保存在Windows目录下。另外，“友好客户”还可以上传或下载特定文件。

　　8、病毒名称：I-Worm/Zobot

　　中文名：“极速波”

　　病毒类型： 网络蠕虫

　　影响平台：Win 2000/XP/2003

　　极速波是一个利用微软“即插即用服务代码执行漏洞”(MS05-039)的蠕虫病毒。该病毒利用最新漏洞传播，并且可以通过IRC接受黑客命令，致使被感染计算机被黑客完全控制。“极速波”运行后，在系统目录下创建病毒文件botzor.exe。修改注册表，实现开机自启。通过TCP 8080端口连接IRC服务器，侦听黑客指令，完全控制被感染的用户计算机。在TCP 33333端口开启FTP服务，提供病毒文件下载功能。修改hosts文件，屏蔽大量国外反病毒和安全厂商的网址。利用微软“即插即用服务远程代码执行漏洞”(MS05-039)进行传播。如果漏洞利用代码成功运行，将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行，未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。

　　9、病毒名称：I-Worm/Sober

　　中 文 名：“铁锁”

　　病毒类型： 网络蠕虫

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　I-Worm/Sober.s“铁锁”是一个网络蠕虫，从被感染的用户计算机上搜索有效的邮箱地址，群发带毒邮件。邮件附件是一个.exe文件，由VB编写，经UPX压缩。“铁锁”运行后，自我复制到Windows目录下，并创建大量病毒文件和空文件。屏幕显示虚假错误信息。修改注册表，实现开机自启。从被感染的用户计算机上搜索有效的邮箱地址，利用SMTP引擎群发带毒邮件。另外，“铁锁”还终止一些与安全相关的进程。

　　10、病毒名称：Trojan/PSW.QQRobber

　　中 文 名：“QQ大盗”

　　病毒类型：木马

　　影响平台：Win 9x/2000/XP/NT/Me/2003

　　Trojan/PSW.QQpass.ad“QQ大盗”是一个木马，文件大小12K。“QQ大盗”运行后，从指定站点自动下载并运行多个木马程序。被下载的木马常用来盗取QQ号和密码。