南京市互联网病毒疫情通报

（2008.05.5-2008.05.11）

　　通过对南京市互联网病毒疫情监测，上周病毒总发作60102次，其中主要病毒为"Worm.NetKiller2003"，发作次数为60020次。病毒"Worm.NetSky.d"，发作次数为29次。病毒"Trojan.DL.IEFrame.bq"，发作次数为23次。排名前十位的病毒如下：

病毒名称	病毒数量	比例
Worm.NetKiller2003	60020	99.86%
Worm.NetSky.d	29	0.05%
Trojan.DL.IEFrame.bq	23	0.04%
Worm.Blaster.a	7	0.01%
Trojan.DL.Script.JS.Agent.lpr	7	0.01%
Worm.Mail.NetSky.b	4	0.01%
Trojan.DL.Script.JS.Agent.lno	3	< 0.01%
Worm.Blaster.b	2	< 0.01%
Trojan.DL.IeFrame.aq	2	< 0.01%
Trojan.DL.Ieframe.co	2	< 0.01%

　　发作次序排名：

　　1、Worm.NetKiller2003发作比例为 99.86%，同比上周  99.97%稍有下降。

　　2、Worm.NetSky.d发作比例为 0.05%为新进入排名。

　　3、 Trojan.DL.IEFrame.bq发作比例为 0.04%为新进入排名。

　　本周病毒预报如下：

　　1、“安德夫木马变种FXV（Trojan.Win32.Undef. fxv）”木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游账号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。

　　2、（Trojan.Clicker.Win32.PopHot.duj）“POPHOT点击器变种DUJ”木马病毒。病毒运行后会将自身复制到系统目录下，并释放多个病毒文件。并且，病毒会注入到系统正常进程，试图关闭多种主流杀毒软件和安全工具，以及把自身添加到防火墙信任列表，以此躲避防火墙在病毒刷新页面时的拦截。病毒还会利用浏览器频繁地刷新页面并点击页面广告等，使用户上网和计算机运行速度缓慢甚至死机，同时也造成用户宽带流量的极大浪费。

　　3、（Trojan.Clicker.Win32.PopHot. duf）“POPHOT点击器变种DUF”木马病毒，运行后会将自身复制到系统目录下，并释放多个病毒文件。并且，病毒会注入到系统正常进程，试图关闭多种主流杀毒软件和安全工具，以及把自身添加到防火墙信任列表，以此躲避防火墙在病毒刷新页面时的拦截。病毒还会利用浏览器频繁地刷新页面并点击页面广告等，使用户上网和计算机运行速度缓慢甚至死机，同时也造成用户宽带流量的极大浪费。

　　4、“安德夫木马变种FXK（Trojan.Win32.Undef. fxk）”    木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。

　　5、“代理蠕虫变种SO（Worm.Win32.Agent. so）”蠕虫病毒，病毒运行后会把自己复制到系统目录下，并修改注册表启动项实现开机自启动。同时病毒修改注册表信息，来禁用系统任务管理器，禁止WINDOWS自动升级，将系统文件和隐藏文件设置为不可见，以及锁定用户默认浏览器主页，并且试图关闭杀毒软件和安全工具。当病毒发现有标题为“瑞星主动防御”或者“恶意行为检测”的对话框时，就发消息模拟鼠标点击不处理，以此躲避杀毒软件查杀。它还会从网上下载新的木马病毒，并在可移动存储设备写入病毒，以此传播。

　　6、（Trojan.PSW.Win32.GameOL.in）“线上游戏窃取者变种IN”木马病毒。病毒运行后会首先将系统的扬声器设置成静音，避免杀毒软件和安全工具发出警告声响，并试图关闭杀毒软件和安全工具。然后病毒将自身复制到系统目录下，修改注册表启动项实现开机自启动。同时，病毒还会加载到所有进程中，在后台监视和窃取用户网游帐号密码等信息，并发送到黑客指定网站，使玩家蒙受损失。

南京市公安局网络警察支队

二00八年五月十二日