trojan . win32 . generic . 126 68913什么是病毒？

下表显示了2009年1月期间特洛伊病毒在中国互联网上的活动情况。表中列出的所有恶意程序都是最常见的。这些恶意程序会在用户上网时给他们带来伤害。

(下表中的数据基于卡巴斯基产品测试的统计。)

恶意软件%的名称

1.特洛伊-猎食贼。win32 . magania . gen 13.41

2.特洛伊-猎食贼。Win32.OnLineGames.ufmu 6.54

3.剥削。Win32.IMG-WMF.fx 5.50

4.虫子。Win32.Downloader.yq 3.22

5.虫子。Win32.Downloader.yv 3.13

6.特洛伊滴管。win32 . multi joiner . 13 . y 2.51

7.虫子。Win32.Downloader.yw 2.43

8.HEUR:特洛伊。Win32 .泛型2.09

9.HEUR:特洛伊-下载器。Win32 .泛型2.07

10.黑尔。Win32.Trojan.Generic 1.97

11.非病毒:广告软件。Win32.BHO.fay 1.90

12.虫子。Win32.Downloader.zd 1.52

13.特洛伊-猎食贼。Win32.Agent.w 1.42

14.HEUR:特洛伊。入侵者1.38

15.特洛伊-猎食贼。win32 . online games . bknq 1.34

16.特洛伊-猎食贼。win32 . online games . ubok 1.26

17.HEUR:特洛伊。Win32.StartPage 1.22

18.特洛伊下载器。win32 . small . DFL 1.18

19.特洛伊。Win32.Pakes.lmb 1.09

20.特洛伊-猎食贼。win32 . online games . ubga 1.01

排名第一的恶意程序是恶意程序家族:特洛伊-gamethief.win32.magania.gen，10月排名第二，本月上升半个百分点，成为头号恶霸。

这个恶意程序家族的代表是一个流行的恶意程序-特洛伊-游戏小偷。从木马的名字就可以看出，它们会窃取用户的网游账号密码等信息。在5438年6月+2009年10月，这种特洛伊木马垄断了所有恶意程序的25%。盗号木马，排名第2，13，15，16，第20，也是这类恶意程序的代表。值得注意的是，盗号木马中的这种信息窃取是针对国内热门网游用户的。所以喜欢网游的电脑用户要特别注意杀毒安全。

剥削。上月排名第三的恶意程序Win32.IMG-WMF.fx以5.5%的人气再次问鼎排名。我们在上个月的报告中介绍了这个恶意程序。在此，卡巴斯基实验室再次提醒用户，一定要更新这个漏洞。关于该漏洞更详细的信息可以在这里找到:/TechNet/security/bulletin/ms06-001 . mspx同时需要注意的是，这种利用方式有很多种变种，如何利用该漏洞取决于病毒作者的想象力和创造力。剥削的变种。Win32.IMG-WMF.fx将在系统中安装rootkit。

在本月的报告中，还有一类恶意程序家族需要引起注意:蠕虫。Win32.Downloader这个家族的不同代表占据了榜单的第4、5、7、12位。虽然这个恶意程序最早出现在一年左右，但是这个月才“出名”，一下子就占到了10%左右。这个家族的所有代表都起源于同一个恶意程序，不同变种之间唯一的区别就是恶意程序在系统中的下载链接地址和文件名。他们* * *的相似之处在于，会在系统目录下生成一个随机命名的dll文件，这个dll会被注入到系统进程中。

此外，需要指出的是，大约30%的恶意程序是通过启发式分析检测出来的。对于用户来说，这意味着卡巴斯基实验室的杀毒软件可以检测出大多数未知的恶意程序。

2.网络攻击排名:

大多数用户对网络安全了解不多，这是可以理解的，因为即使是很多从事计算机相关职业的经验丰富的用户，也很难了解安全问题的所有细节。也许，有些用户会觉得这份报告在某些地方非常难以理解。虽然我们会尽量让它通俗易懂，但如果你还是不明白，请查阅相关资料。

如今，计算机安全的世界是复杂的。普通用户的计算机总是面临着大量的攻击和威胁。为了应对多样性的威胁，今天的反病毒软件本身应该包含各种模块，以便为不同级别的用户提供保护。现在网络连接是工作中不可或缺的条件，所以保护计算机系统免受网络攻击非常重要。我们来看看2009年1期间最常见的网络攻击。

攻击名称攻击次数

1.DoS。通用。SYNFlood 4759410

2.入侵。Win.MSSQL.worm.Helkern 964297

3.入侵。win . netapi . buffer-overflow . exploit 152898

4.扫描。通用. UDP 101639

5.入侵。generic . TCP . flags . bad . combine . attack 30354

6.入侵。Win.DCOM.exploit 25565

7.入侵。Win.LSASS.exploit 5203

8.扫描。通用. TCP 3030

9.入侵。win . httpd . get . buffer-overflow . exploit 1584

10.入侵。win . messenger . exploit 1525

11.DoS。win . igmp . host-Membership-query . exploit 1066

12.入侵。win . lsass . ASN 1-kill-bill . exploit 1007

13.入侵。UNIX . fenc . buffer-overflow . exploit 391

14.DoS。Generic . ICMPFlood 357

15.入侵。win . media player . ASX . buffer-overflow . exploit 291

16.入侵。win . w3 filer . buffer-overflow . exploit 169

17.入侵。win . easyaddresswebserver . format-string . exploit 138

18.入侵。win . MSSQL . pre auth . buffer-overflow . exploit 110

19.入侵。win . wins . heap-溢出. exploit 77

20.入侵。UNIX . atphttpd . buffer-overflow . exploit 50

各种syn包泛滥的DoS攻击，占据榜首位置。这种攻击会导致网络瘫痪。如果具有某种特征的数据包超过一定数量，就会发生这种报告。有时候，一些正常的程序也会有类似的网络行为，所以需要进一步分析。

第二种攻击是intrusion . win . MSSQL . worm . helkern，这种攻击针对的是mssql的1434端口上的服务。蠕虫Slammer也会进行这样的攻击。

第三位是intrusion . win . net API . buffer-overflow . exploit。

一般来说，当你收到这个提示时，说明局域网内有恶意程序，比如蠕虫Net-Worm.Win32.Kido，这个蠕虫利用了微软的MS08-067漏洞。虽然针对该漏洞的更新已经发布很久了，但是越来越多的用户机器被该蠕虫感染。卡巴斯基实验室建议您安装微软的更新补丁。该蠕虫将以服务形式启动，并在磁盘上隐藏自己。所以用户很难在机器上发现这种病毒。要在磁盘上找到这个二进制文件，您必须从其他介质启动系统，例如从CD启动系统并扫描它。

这个例子很好的说明了卡巴斯基反病毒产品在复杂安全问题下的优势。蠕虫有时可以隐藏起来，不被反病毒扫描程序扫描到，但是它们的网络活动可以被网络模块检测到。正因为如此，卡巴斯基才能成功对抗这个恶意程序。

又一次网络攻击，扫描。Generic.UDP，无法明确指出网络中存在何种恶意程序。需要更详细地分析这种网络活动的原因。你需要注意扫描的端口，攻击源的IP地址和攻击的间隔。可能只是一次性扫描，不用太难过。但如果这种攻击是周期性的，就要特别注意并采取措施，不仅要研究扫描端口列表，检查并关闭未使用的服务，还要及时给系统打补丁。端口扫描是网络攻击的第一步，需要提前做好准备。

第五种网络攻击是intrusion . generic . TCP . flags . bad . combine . attack一般来说，如果网络数据包中使用了不正确的标志组合，就会给出这个提示。这种不正确的符号组合属于异常情况，需要进一步详细分析原因。可能只是虚惊一场，但也有很大概率是恶意行为。

一般来说，所有这些攻击都可以分为扫描攻击、拒绝服务攻击和漏洞攻击。如果系统中没有启动有漏洞的服务，那么扫描攻击就不会有什么危害。拒绝服务攻击和漏洞攻击通常是由恶意程序产生的，应该引起更多的关注。

我们得到的另一个结论是，大部分攻击都是针对Win32平台的，排名中对Unix的攻击只有两种，即入侵。Unix。Fenc。缓冲区溢出。利用和入侵。Unix。ATPTTPD。缓冲区溢出。剥削。当然这并不能用来证明哪个平台更安全，只是因为大部分桌面用户使用。

我们还要再次提醒您，虽然卡巴斯基的IDS入侵检测系统提醒您有人试图攻击您的计算机并被成功阻止，但您还是应该为您的软件安装最新的更新程序，并及时更新病毒库。

3.恶意软件排名:

根据卡巴斯基安全网络(KSN)在2009年6月5438+10月收集的数据，我们整理列出了两个恶意程序，每个列表都列出了前20个有活跃度的恶意程序。

第一个排名是根据卡巴斯基实验室反病毒产品在2009年收集的数据列出的前20个恶意程序，其中包含在用户计算机上发现的恶意程序、广告软件和其他潜在不良程序的详细信息。

排名排名更改恶意程序名称

1.0病毒。Win32.Sality.aa

2.0已打包。Win32.Krap.b

3.1蠕虫。Win32.AutoRun.dui

4.-1特洛伊-下载程序。Win32.VB.eql

5.3特洛伊。Win32.Autoit.ci

6.0特洛伊-下载程序。WMA.GetCodec.c

7.2个装。Win32 .黑色. a

8.-1病毒。Win32.Alman.b

9.5特洛伊。Win32.Obfuscated.gen

10.10特洛伊-下载者。WMA

11.新列出的漏洞。JS.Agent.aak

12.-1蠕虫。Win32.Mabezat.b

13.-3条虫。Win32.AutoIt.ar

14.1电子邮件蠕虫。Win32.Brontok.q

15.新列出的病毒。Win32.Sality.z

16.新上市的网虫。Win32.Kido.ih

17.重新列出特洛伊-下载器。WMA

18.-2病毒。Win32.VB.bu

19.-特洛伊2号。Win32.Agent.abt

20.新的列表蠕虫。Win32.AutoRun.vnq

排名第一

2009年1月，上述榜单排名变化不大。这只是剥削。代理人aak取代了特洛伊。ai和特洛伊-下载器。5438年6月+去年2月上榜的JS.Agent.czm。AutoRun.eee蠕虫从本月榜单中消失，取而代之的是worm。Win32.AutoRun.vnq这并不奇怪，因为对于这类恶意程序来说，变化频繁是它的特点。

值得注意的是特洛伊-下载器。去年6月5438+2月从榜单上消失的WMA.Wimad.n，本月重新上榜。这是由于榜单中三种非典型恶意下载程序的广泛传播，以及用户对多媒体文件的信任态度。特洛伊-downloader.wma.getcodec.r在榜单中迅速上升，排名第十，这正好印证了我们在上个月的恶意程序20强报告中提到的恶意程序传播方式的判断，即恶意程序利用点对点网络和多媒体文件下载的传播方式非常有效。

与此同时，Sality.aa仍然高居榜首，Sality.z也加入了前20，使得Sality family成为最近传播最广、最危险的恶意程序。

然而，臭名昭著的高瀚宇家族的网络蠕虫，通过微软Windows的主要漏洞传播，仍然出现在名单上。不过，考虑到目前蠕虫感染的流行情况、该蠕虫的传播方式以及潜在威胁电脑的数量，kido蠕虫的变种出现在本月的名单中并不奇怪。

特洛伊马–35%

病毒–50%

恶意程序–15%

所有恶意程序、广告软件和其他潜在的不良程序都可以根据我们检测到的威胁类别进行分类。总的来说，自我复制程序的数量再次超过了特洛伊马。

65438年6月+10月，卡巴斯基实验室* *在用户电脑上的46014中检测到恶意程序、广告软件和其他潜在不良程序。值得注意的是，在之前的假期期间，“自然状态”下发现的威胁数量并没有减少。相反，5438年6月+2月(38190)在“自然状态”下截获的样本数比平时多了7800个。

接下来，我们来关注一下第二个排名。在第二个排名中，在用户计算机中发现的前20个恶意程序最容易受到文件感染。感染文件的恶意程序在此列表中占大多数。

排名排名更改恶意程序名称

1.0病毒。Win32.Sality.aa

2.0蠕虫。Win32.Mabezat.b

3.2网虫。Win32.Nimda

4.-1病毒。Win32.Xorer.du

5.1病毒。Win32.Alman.b

6.3病毒。Win32.Sality.z

7.0病毒。Win32.Parite.b

8.2病毒。Win32.Virut.q

9.-5特洛伊下载器。HTML.Agent.ml

10.-2病毒。Win32.Virut.n

11.1电子邮件蠕虫。Win32.Runouce.b

12.1蠕虫。Win32.Otwycal.g

13.1 P2P-Worm。Win32.Bacteraloh.h

14.4病毒。Win32.Hidrag.a

15.5病毒。Win32.Small.l

16.-5病毒。Win32.Parite.a

17.重新列出蠕虫。Win32.Fujack.bd

18.新上市的P2P蠕虫。Win32.Deecee.a

19.-特洛伊4号。Win32.Obfuscated.gen

20.新列出的病毒。Win32.Sality.y

排名第二

Sality.z是该病毒中最新的恶意程序。Win32.Sality家族进入前20名名单。Sality.y出现在第二个列表中，进一步说明了这个自我复制程序家族的高活性。有趣的是新的P2P蠕虫。排名第二的Win32.Deecee.a。该蠕虫通过DC++点对点网络传播，可以下载其他恶意程序。它能在此列表中占据一席之地，不是因为受感染的计算机数量多，而是因为它在每台受感染的计算机上有大量备份。当蠕虫感染用户的电脑时，它会多次复制自己。一旦被感染，蠕虫会公开复制自己。其自我复制生成的可执行文件会遵循一定的模式:前缀为“(破解)”和“(补丁)”，文件名为“Adobe Illustrator(所有版本)”和“GTA San Andreas Action 1 DVD”等流行的应用软件名称。虫子。去年6月165438+10月重回榜单的VBS.Headtail.a这次消失了，延续了2008年底不稳定的表现。