| 南京市互联网病毒疫情通报
(2008.05.12-2008.05.18)
通过对南京市互联网病毒疫情监测,上周病毒总发作185240次,其中主要病毒为"Worm.NetKiller2003",发作次数为185208次。病毒"Worm.Netsky.q",发作次数为23次。病毒"Worm.NetSky.d",发作次数为4次。排名前十位的病毒如下:
|
病毒名称 |
病毒数量 |
比例 |
|
Worm.NetKiller2003 |
185208 |
99.98% |
|
Worm.Netsky.q |
23 |
0.01% |
|
Worm.NetSky.d |
4 |
< 0.01% |
|
Worm.Blaster.b |
3 |
< 0.01% |
|
Trojan.DL.IeFrame.aq |
1 |
< 0.01% |
|
Junk.NetSky.q |
1 |
< 0.01% |
发作次序排名:
1、Worm.NetKiller2003发作比例为 99.98% ,同比上周 99.86%稍有上升。
2、 Worm.Netsky.q发作比例为 0.01%为新进入排名。
3、 Worm.NetSky.d发作比例小于0.01%为新进入排名。
本周病毒预报如下:
1、“VB蠕虫变种NH (Worm.Win32.VB. nh)”蠕虫病毒, 运行后,把自己命名为SVCHOST.EXE,复制到 C:\RECYCLED\目录,借以隐藏自身。病毒使用多个进程相互守护.并不断的回写注册表的多个键值,达到隐藏自己的目的,很难彻底清除,给用户带来较大安全风险。
2、“代理蠕虫变种SW(Worm.Win32.Agent.sw)”蠕虫病毒,运行后会把自己复制到系统目录下,并修改注册表启动项实现开机自启动。同时病毒修改注册表信息,来禁用系统任务管理器,禁止WINDOWS自动升级,将系统文件和隐藏文件设置为不可见,以及锁定用户默认浏览器主页,并且试图关闭杀毒软件和安全工具。当病毒发现有标题为“瑞星主动防御”或者“恶意行为检测”的对话框时,就发消息模拟鼠标点击不处理,以此躲避杀毒软件查杀。它还会从网上下载新的木马病毒,并在可移动存储设备写入病毒,以此传播。
3、(Backdoor.Win32.IRCbot.clq)“IRC波特变种CLQ”后门病毒,运行后复制自身到驱动程序目录下,文件名为wmiadapi.exe,并在注册表中添加名为“AutoDiscovery/AutoPurge (ADAP) Service”的项目,实现开机自动运行。病毒还会在中毒电脑上开设后门,自动连接cftp.dawn****.info接受远程指令,黑客可以利用IRC软件对染毒的计算机进行远程控制,进行多种危险操作。同时,该病毒还会自动修改系统文件,使系统一些正常的网络功能遭到破坏。
4、“(Backdoor.Win32.Gpigeon2007. bbl)灰鸽子变种BBL”后门病毒,运行时会首先将自身拷贝到系统目录下,并设置成隐藏、系统、只读属性。然后病毒会创建系统服务,实现随系统自启动。它还会新建IE进程并设置该进程为隐藏,然后将病毒自身插入该进程中。通过在后台记录用户键盘操作,病毒会偷取用户信息和本地系统信息等,并将该信息发送给黑客。如此用户计算机将被远程控制,不自主地删除文件,远程下载上传文件,修改注册表等等,给用户的计算机和隐私安全带来很大隐患。
5、“安德夫木马变种GGB(Trojan.Win32.Undef. ggb)”木马病毒,运行后会将自身文件复制到系统目录下,并修改注册表启动项,实现随系统自启动。病毒会将自身注入到系统正常进程,给用户查杀病毒带来困难。此外,病毒会试图关闭多种杀毒软件和安全工具,并会纪录用户键盘和鼠标操作,窃取用户的网游的帐号、密码等隐私信息,并发送给黑客,使玩家蒙受损失。
6、“安德夫木马变种GGA(Trojan.Win32.Undef. gga)”木马病毒,病毒运行后会将自身文件复制到系统目录下,并修改注册表启动项,实现随系统自启动。病毒会将自身注入到系统正常进程,给用户查杀病毒带来困难。此外,病毒会试图关闭多种杀毒软件和安全工具,并会纪录用户键盘和鼠标操作,窃取用户的网游的帐号、密码等隐私信息,并发送给黑客,使玩家蒙受损失。
7、“(Trojan.Win32.Undef. fxv)安德夫木马变种FXV” 木马病毒,病毒运行后会将自身文件复制到系统目录下,并修改注册表启动项,实现随系统自启动。病毒会将自身注入到系统正常进程,给用户查杀病毒带来困难。此外,病毒会试图关闭多种杀毒软件和安全工具,并会纪录用户键盘和鼠标操作,窃取用户的网游账号、密码等隐私信息,并发送给黑客,使玩家蒙受损失。
南京市公安局网络警察支队
二00八年五月十九日 | 
