做为一家欲进军国际市场、国内著名的反病毒及信息安全厂商瑞星公司,针对2002年间爆发的各种病毒通过病毒的危害程度和广大计算机用户的反馈资料及大量的统计调查研究,综合整理出今年的十大流行病毒排行榜,在"榜上有名"的各病毒都是今年在广大计算机用户心目中或多或少的留有一些印象,其中"求职信"病毒以其集大成者的身份,仍然"风光无限",位居榜首,其余九个病毒也以其独有的"威力"名列榜中。
1."求职信"(Worm.Klez)病毒
"求职信"病毒是自有计算机病毒已来的杰出代表。其不仅有英文版和中文版(Worm.Klez.cn.b)两种形式,并且有多个变种,其英文版就主要有Klez.K、Klez.L、Klez.H、Klez.G四个版本。此病毒有自己的SMTP引擎,具有极强的传播感染能力,可以通过电子邮件、局域网共享目录、磁盘传播、方式病毒感染等多种途径进行传播感染,并能自动获取用户地址薄中的信息乱发邮件,甚至每次发送的病毒邮件主题和内容都是随机的,危害程度极大。"求职信"病毒主要是利用了微软的Outlook和Outlook Express漏洞进行传播感染,因此如果在未打补丁的计算机中打开带毒邮件,邮件附件会自动运行,而且此病毒具有极高的智能,将遍历所有进程,杀掉对它有威胁的进程,还通过注册表和内存两方面破坏这些反病毒软件,并感染注册表中某些常用的已登记安装了的软件,保证病毒被激活。在Windows的Internet临时文件夹中搜寻对它有威胁的文件,找到后立即删除从而达到阻止用户上网升级或下载对付它的程序。并能够让系统变慢并阻塞网络流量,删除文件等恶性行为。因为"求职信"病毒具有传染渠道多,破坏力非常强的特点,其给全球众多企事业单位和个人电脑用户造成了巨大的经济损失。
2."杀手13"(Worm.KillOnce)病毒
"杀手13"蠕虫病毒也可以在Windows 2000、Windows XP等操作系统环境下正常运行。在运行时会将自身写入系统目录及回收站,并通过修改注册表进行自启动,同时在局域网中进行疯狂传播,建立多个线程,干掉已知的反病毒软件,并用NET命令打开局域网上计算机的后门。12月13日,当此病毒爆发时,还会给被感染的计算机带来毁灭性的攻击:删除C盘全部目录和所有文件!
3."新娘"(Worm.bride)病毒
"新娘"病毒是一个黑客程序,其可以在Windows 2000、Windows XP等操作系统环境下正常运行。运行时会自动连接www.hotmail.com网站,假如无法连接到这个网站,则该病毒会休眠几分钟,然后修改注册表,并将自己加入注册表自启动项,病毒会释放出四个病毒体和一个有漏洞的病毒邮件并通过邮件系统向外乱发邮件,病毒还能释放出FUNLOVE病毒感染局域网内的所有计算机,而且此病毒还能够杀掉已知的几十家反病毒软件,使这些反病毒软件失效。
4."怪物"(Worm.Bugbear-A)病毒
"怪物"病毒是蠕虫病毒,危害性比较大,也非常具有"智能化"。主要破坏性表现为:监控电脑用户的键盘动作,并截获用户的登录名和密码;修改注册表,电脑用户开机时病毒被自动启动;自动搜索并杀掉它知道的反病毒软件的进程;向外界病毒客户端发送被感染用户的机密信息,如用户名和密码等等;并且"怪物"病毒会攻击打印机,只要它找到本地打印机或者网络打印机,就会随机打印二进制代码。并且"怪物"病毒具有极强的传播能力。它会利用局域网进行传播,只要是能找到的资源,都会被"怪物"感染,这些被感染的机器只要一启动,病毒就会随之启动。
5."汉城"(Worm.Winevar)病毒
"汉城"病毒具有智能反跟踪技术,此蠕虫病毒携带FUNLOVE病毒进行传播感染。它同样可以在Windows 2000、Windows XP等操作系统环境下正常运行。病毒除了会删除NT系统的服务(如:NTICE、tcpip)外,更是会删除一些反病毒软件!病毒将自己本身复制到system32目录下,并改名为前三字母为win,扩展名为.pif的随机文件名。由于病毒本身做了反跟踪设计,当发现自己被跟踪时会弹出对话框:"what a foolish thing you have done!",随即删除system32目录下的所有文件。病毒还会尝试从http://www.symantec.com/上下载文件,如果失败,病毒将放出funlove病毒并退出。病毒还利用邮件传播,并把自己复到到系统桌面上文件名为explorer.pif,同时删除各硬盘分区里的所有文件!
6."中国黑客"(Worm.runouce)病毒
该病毒是一个蠕虫病毒。该病毒具有极强的局域网传染功能。病毒在被激活的过程中会把病毒体自身复制到系统目录中。通过各种方法来达到在内存中保护病毒进程的目的,并搜索网上邻居中的可写文件夹,然后在每个可写文件夹中都生成一个以计算机名命名的.eml文件。其变种中国黑客II用两套感染机制感染不同的操作系统平台;用多线程守护技术造成很多杀毒软件无法杀掉内存病毒;利用邮件的OUTLOOK地址簿传播自身;在局域网中的可写目录中写入病毒邮件进行局域网传播,严重阻塞网络流量。"中国黑客"病毒还可以象Nimda病毒那样感染脚本文件,通过脚本文件来执行病毒程序,并在被感染的脚本文件的目录下生成Readme.eml的病毒邮件。
7."爱情森林"(Trojan.sckiss)病毒
"爱情森林"是木马病毒。此病毒是已知的第一个利用QQ进行传播并破坏的恶性木马病毒。它利用本机QQ,在用户不知道的情况下向用户的好友发送一句消息:"http://sckiss.yeah.net 这个你去看看!很好看的"一旦登陆此网站,便会中毒。因为此网站的主页是一个恶意网页,此恶意网页是用JS脚本语言编写,利用了JAVA EXPLOIT漏洞,所以不经用户的允许,便可以悄悄自动下载"爱情森林"病毒并执行,它会自动下载"爱情森林"病毒并执行,从而对用户计算机造成破坏。
8."IRC克隆人"(Backdoor.IRC.Cloner.k)病毒
"IRC克隆人"是后门病毒,该病毒运行时会放出5个核心病毒程序来感染系统,然后查找系统中的网络即时聊天工具mIRC,然后病毒利用这个软件的强大功能,将这个软件改造成一个功能强大的网络病毒服务器,可以实现端口扫描、邮件炸弹、Flood 攻击、UDP攻击、ICQ页面炸弹、局域网文件传染、局域网消息炸弹等多种攻击,给网络上其它的计算机造成损失。
9."百变金刚"(Win32.Etap2)病毒
"百变金刚"病毒是系统病毒,感染目标为系统中所有可执行文件,更为诡异的是该病毒可以对自己先压缩,再放大,而它的长度与代码的变化毫无规律可言。它是国外最知名的病毒组织"29A"的代表作之一。此病毒是可以跨平台的病毒,可以在Window系统和Linux系统下正常工作,同时该病毒也是一个复杂的变形病毒,它的变形引擎可以对自身进行彻底的重组,使以特征码为基础的传统杀毒方法不能彻底查杀。该病毒不但展示了在不同系统平台下运行的新技术,而且"百变金刚"也为了躲避反病毒软件的捕杀,其可以对大多数反病毒软件的主程序进行回避,在某种程度上代表了病毒的未来发展趋势。
10."红色结束符"(Script.RedLof.htm)病毒
"红色结束符"病毒是一个脚本病毒,可以在Windows 9X、Windows 2000、Windows XP等操作系统环境下正常运行。它感染脚本类型的文件,运行时,全盘查找脚本类型的文件(vbs、htm、html等),如果找到,则将病毒自身加入这些文件的尾部,完成感染。该病毒还会疯狂感染文件夹,会在感染的文件夹下产生两个文件,一个名为:desktop.ini的目录配置文件,一个名为:folder.htt的病毒体文件,当用户双击鼠标进入被感染的文件夹时,病毒就会被激活,由于病毒每激活一次,就会在内存中复制一次,所以当用户多次进入被感染的文件夹时,病毒就会大量进入内存,造成计算机运行速度越来越慢,而且该病毒还会随着信件模板,进行网络传播。
从宏观上综述2002年的病毒,我们可以看出今年的流行病毒主要是利用网络及电子邮件进行传播为主,通过磁盘介质传播为辅的传播方式。以网络进行传播可以达到传染方式多、传播速度快、清除难度大和破坏力强等特点,而以电子邮件进行传播的方式不仅是目前最大的计算机病毒传播源,而且具有相当高的隐蔽性和诱骗性,使广大用户在不知情的情况下打开邮件及其附件被病毒感染。再有瑞星全球病毒监控网也经常截获最新发现挟带着老的恶性病毒的身影,加大了病毒的破坏力。大量的黑客木马、蠕虫病毒程序泛滥,网页恶意代码依然屡禁不止,而且一些病毒都具有不同程度的智能化,主动释放出多个线程,以逃避反病毒软件的查杀,还有一些病毒采用彻底删除反病毒软件的方法来保存自己,可以说制造病毒的技术在不断提高,反病毒工作将更加艰巨。而瑞星杀毒软件2003版,是专门针对目前流行的网络病毒研制的开发产品,应用了多项最新的反病毒技术,有效提升对未知病毒、变种病毒、黑客木马、恶意网页等新型病毒的查杀能力,在降低系统资源消耗、提升查杀毒速度、快速智能升级等多方面进行了改进,是保护计算机系统安全的必备工具软件。